首页 > 传媒 > 关键词 > 网页木马最新资讯 > 正文

网页木马更倾向于利用第三方应用程序漏洞

2008-07-17 10:54 · 稿源:站长之家用户投稿

中国站长站讯: 7月17日,《2008年上半年互联网挂马报告》报告显示,网页木马更倾向于利用第三方应用程序漏洞

1、网页木马更倾向于利用第三方应用程序漏洞。

从统计的数据来看,目前网页木马利用的主要漏洞已经从操作系统相关漏洞转向比较流行的应用程序相关漏洞。相对于操作系统软件,一些流行的应用软件在逻辑编码与安全测试方面可能会稍逊一筹。所以在漏洞产生的频率与可能性上,应用软件相对来说会有更大的空间。

另一方面,操作系统的升级时间会相对固定,安全意识日益提高的用户也会更重视系统漏洞。而每次上网时先要去检测一下众多应用程序是否需要升级,的确是一件很烦琐的事情,很多用户对应用程序的升级也不是十分重视。当软件自动更新程序提示有新版本程序时,一些用户会选择不升级到最新版本,很多用户很可能已经取消了程序的自动升级。有某些少数的软件公司竟然对程序存在的漏洞不进行修正,无视安全公司的漏洞分析及善意提示,不顾及用户的利益是否会遭受损失。

以上这些原因都导致了利用应用程序漏洞的网页木马的疯狂增长,超级巡警首创第三方漏洞检测和修复功能,保护了大量的用户,有效的遏制了常见利用第三方漏洞的木马传播。

2、网页木马集团化作业,分工明确。

网页木马的增长一方面是因为可利用的漏洞频频出现,另一方面则是因为在巨额利润驱使下的制作者群体的快速增长。从0day漏洞到网马生成器,从可控“肉机”到webshell,在木马产业的每一个环节都有利益可图,这种“高收入、低风险”使得更多的人,尤其是青年人趋之若骛。

超级巡警团队根据监控的数据进行了抽样调查,结果表明25%以上的网马中含有关键字“cuteqq”。经调查得知,含有关键字“cuteqq”的网马都是由名为“暗黑工作组”的网站所出售的网马生成器生成的。另外像中华吸血鬼马等生成器家族也越来越多,这类半地下半公开或者全公开叫嚣对抗安全产品的生成器今年数量急剧增多,由于其不需要使用者有较高的计算机水平广受欢迎,成为了一大公害。下图即为暗黑生成器的截图:

 

 

图8 网马生成器

今年黑色产业链发展比去年更为势头猛烈,流水化作业,分工明确,目前网马工作流程如下图:

 

 

图9 网马流程图

网马制作者为了使网页木马为了被更广泛的传播,会通过各种热门话题进行传播。从年初的“艳照门”、雪灾到5用份的地震,只要是受到关注的新闻,网马制作者几乎都会利用这些热点去传播网马。

图10为超级巡警团队捕获的带有恶意网马链接的关于地震灾区的网页。超级巡警团队的统计数据表明,在一些节日(如情人节、母亲节)同样会监控到大量伪装为鲜花网站、祝福网站的链接恶意网马的网页。利用社会工程学传播的网马可以说是无处不在。

 

 

图10 链接网马的新闻网页

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 27岁程序员转职赏金猎人:一个漏洞10万美元,比工资香多了

    6 月 1 日,有报道称,印度开发者 Bhavuk Jain 向苹果安全团队报告了 Sign in with Apple(通过 Apple 登录)中存在一个零日漏洞,它允许攻击者远程劫持任意用户账户,影响严重。为此苹果向 Jain 支付了十万美元的巨额赏金。

  • 重磅!「晓程序观察」独家:支付宝小程序最全运营宝典!

    ​随着 618 战火愈演愈烈, 2020 年即将正式驶过一半航程了。年初疫情足不出户时,你们闭门在家做的目标计划书,不知道已经实现得如何了?

  • 苹果小程序在哪里

    北京时间今天凌晨,在 WWDC 2020 全球开发者大会上,苹果发布了 iOS 14 系统,正式介绍了其最新版的 iPhone 软件。ios14当中的一个亮眼便是被称为「苹果小程序」的新功能。苹果在App Store新加入的「App Clip」功能,就类似于小程序。苹果表示App Clips包含应用的一小部分功能,而无需完整下载安装,使用起来十分地方便。同时苹果也在研发全新的QR二维码格式,该格式同时使用视觉二维码和NFC来快速访问App Clip。以下是关于ios版小

  • OKEx早报:以太坊2.0一周内开测,挖矿木马近期活跃

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递6月24日讯,昨日晚间BTC出现一轮上涨行情,通过OKEx平台交易数据可以看出,BTC今日开盘报9691.01美元。开盘后一路震荡下行,至6:45跌至早间低点9591.47美元,早间跌幅接近100美元。随后开始横盘整理,截止发稿BTC报9629.34美元。图片来源:OKEx平台BTC/USD交易数据据OKEx交易大数据显示,BT

  • 利用网页抓取数据赚钱的3个思路

    在大数据时代,如何有效获取数据已成为驱动业务决策的关键技能。分析市场趋势,监视竞争对手等都需要进行数据采集。而网页抓取则是数据采集的主要方法之一。在本文中,Christopher Zita将和大家展示 3 种利用网络抓取赚钱的方法,全程只需几个小时就能学会,所用代码不到 50 行。

  • WhatsApp漏洞或已暴露用户的手机号码

    某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。

  • 享学课堂书写程序人生

    30 岁以后何去何从,是程序员职业生涯的分水岭。有的程序员会继续深造晋升,有的程序员会转投其他行业,也有一部分程序员选择创业,开启从 0 到 1 的新生涯。2018 年 3 月,三位踌躇满志的程序员走在一起,因为改变和梦想他们成立了享学课堂。Lison(李勋) 复旦大学工程硕士,曾就职于金蝶中间件、国防科大等知名企业,负责主持公司的日常各项经营管理工作,组建公司人才团队,制定公司发展战略,负责公司运营和销售管理工作;Jam

  • 索尼悬赏35万征集PS4漏洞:避免破解

    其实早今年就有关于PS4和Xbox One被破解的消息流出,其方法并不假,只是限制重重,远非完美方案,同时,索尼、微软方面也通过和黑客的沟通,保持自己的系统更新先于破解一步。据外媒报道,索尼

  • 5月头号恶意软件Ursnif银行木马影响范围翻了一番

    2020 年 5 月头号恶意软件:Ursnif 银行木马首次登上十大恶意软件排行榜,组织影响范围翻了一番。 Check Point 研究人员发现,可窃取电子邮件和银行凭证的老牌 Ursnif 银行木马的攻击利用率激增。 2020 年 6 月 16 日 – 全球领先的网络安全解决方案提供商 Check Point? 软件技术有限公司 (纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 发布了其 2020 年 5 月最新版《全球威胁指数》报告。研究人员发现,多起恶

  • 支付宝小程序发战报:小程序规模化V字反弹成行业现象

    支付宝最新数据显示,疫情影响下的各行各业正在加速恢复,支付宝小程序商家已批量化出现V字反弹现象,其中「扶优计划」首批参与商家GMV平均增长超过300%。

  • 《英雄联盟》曝漏洞:部分英雄可造成全图伤害 官方回应

    6月19日下午,《英雄联盟》官微发表“关于召唤师峡谷平衡性漏洞的说明”。文中指出,当前游戏内召唤师峡谷模式存在平衡性漏洞,导致部分英雄在特殊情况下可以对全地图范围内的敌人造

  • 网页排序哪5个特征,百度颇为喜欢?

    常常用于表达一个人对于另外一个人的情有独钟,而在搜索引擎的领域里,很多SEO人员,常常试图去找寻一个“唯一的真理”那就是搜索排序中,到底哪个排序特征对于网页来讲,是最为重要的一个因素,而“我只喜欢你”,对于SEO而言,能不能真的把SEO做好。

  • 苹果突发iOS/iPadOS 13.5.1更新:封堵越狱漏洞!

    今天苹果发布了iOS和iPadOS 13.5. 1 的更新,乍一看让人觉得非常意外,但实际却并非如此。从目前已知的更新情况来看,苹果iOS 13.5. 1 主要是用来修补Unc0ver越狱所使用的漏洞,而之前Pwn20wnd发布了unc0ver 5.0. 0 的下载,它理论上支持iOS 11~iOS 13. 5 系统的全iOS设备越狱(iOS 12.3-12.3.2、12.4.2-12.4. 5 除外)。

  • 苏宁内测“练摊儿”小程序 主推小商品

    近日,苏宁易购正在开发一款名为“练摊儿”的微信小程序,目前已进入到内测阶段。“练摊儿”小程序首批上线 5000 个优选SKU,主推生活日杂、家居、小数码、食品等小商品。

  • 封堵邮件漏洞 苹果敦促iPhone用户尽快安装iOS 13.5更新

    苹果方面已经要求iPhone用户尽快更新iOS 13. 5 安全更新,因为在这个版本中,修复了不少安全上的漏洞。有同样需求的还有德国联邦安全局(BSI),其也敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。

  • 30万「程序猿」的未来简史:去O,上云

    “有一天醒来,我站上体重秤,显示身体年龄 57 岁。”不久前,脱口秀演员呼兰决定不再兼职程序员工作。毕业于哥伦比亚大学精算专业的呼兰,曾经在上海担任创业公司CTO。上秤那天,他的“第一个想法是,再干 3 年就可以退休了”。

  • 周鸿祎调侃潘石屹学python:他写的估计一百行里有十个漏洞

    在 6 月 20 日极客公园联合bilibili举办的Rebuild2020的对话中,360董事长周鸿祎谈到漏洞不可避免的原因称,一是人写代码的技术漏洞,二是违背安全规则的人性漏洞。

  • 苹果( Sign in with Apple)漏洞未经授权访问链接服务

    "Apple登录( Sign in with Apple)"是苹果公司在去年WWDC推出的一项登录服务,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。

  • 微信毕业照小程序使用教程 毕业照云写真怎么用

    最近火起来一个很有意思的小程序——毕业照云写真,很清楚的就能获得一张属于你自己的毕业美照,很多人还不清楚这个毕业照云写真怎么用,下面就来为大家分享一下教程。

  • 瑞幸咖啡APP/小程序崩了 官方:正抓紧抢修

    6月15日消息,有网友反映,瑞幸咖啡APP和小程序崩了。官方对此表示,因上周系统升级出现问题,App/小程序崩了。我们正在抓紧抢修,恢复正常会第一时间通知大家。据报道,在4月出瑞幸咖啡小

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议