作者 主題: 純html的網頁如何被植入iframe  (閱讀 8142 次)

0 會員 與 1 訪客 正在閱讀本文。

sycross

  • 憂鬱的高中生
  • ***
  • 文章數: 104
    • 檢視個人資料
純html的網頁如何被植入iframe
« 於: 2009-01-17 16:08 »
網頁都是html寫的,沒有php或asp

不分apache 或 IIS

這樣的條件底下,有心人士是如何成功將 iframe 植入 html底下,

它的方式是什麼,一定是 apache 或 IIS的漏洞嗎  ??

跟個位請益

感謝

sycross

  • 憂鬱的高中生
  • ***
  • 文章數: 104
    • 檢視個人資料
回覆: 純html的網頁如何被植入iframe
« 回覆 #1 於: 2009-01-17 16:25 »
換另一個方向思考,

是不是不一定是檔案名稱是html的,就不會被植入,

因為html裡也可以寫 javascrip 等語法 !!!!!

只要是html有script的,就會被植入嗎  !!!?

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: 純html的網頁如何被植入iframe
« 回覆 #2 於: 2009-01-17 20:43 »
網頁都是html寫的,沒有php或asp
不分apache 或 IIS
這樣的條件底下,有心人士是如何成功將 iframe 植入 html底下,
它的方式是什麼,一定是 apache 或 IIS的漏洞嗎  ??
跟個位請益

還有很多可能:
例如: 主機維護是用 ftp 或網芳丟上去, 也就可以用網芳或 ftp 改掉.
或者: 中毒的不是網站, 而是一個木馬網站在前面, 所以一般人先看到木馬網站了.
冷笑話: 我的 IP 是 127.0.0.1

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: 純html的網頁如何被植入iframe
« 回覆 #3 於: 2009-01-17 20:58 »
javascript 是 client side 的東西, 頂多造成 client 被入侵, 不會造成 server 端被入侵.

sycross

  • 憂鬱的高中生
  • ***
  • 文章數: 104
    • 檢視個人資料
回覆: 純html的網頁如何被植入iframe
« 回覆 #4 於: 2009-01-18 00:54 »
所以純 .html 的網頁,除非它本身就已存在有問題的iframe內容,

否則可太可能因為 apache / IIS 的關系被植入 iframe 嗎  ???

是不是也無不可能的,如果有可能的話機率應該也是非常的低嘛 !!!!?

再來

那如果是 ASP / PHP 等程式就比較有可能會因為程式寫的好壞造成被植入iframe等木馬的可能性,

這時後有被植入的應該就是透過程式端,而不是什麼 ftp等媒介了,是吧!!!!

在 Google 上找尋一些 "iframe 植入" 等資訊,都是提到 iframe 有那些類型、會造成什麼影響等等,

不過呢我想從系統面探討,如何去驗證被植入iframe等木馬是因為程式而不是因為apache /IIS,

入侵的可能性會有很多種情況,所以不知道大家對於這樣的情況發生時,

你會如何有自信的去說出這一定是程式問題 ,而不是 apache /IIS,

經常更新 Windows IIS 是一定的,因為它更新頻率那麼多,不更新怕危險,

那 Apache 就不一定會升級到最新的吧,大家一定會把 Apache 更新到官方已 release 的最新版本嗎 ?

請大家說說經驗,讓小弟我學習學習

感謝

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: 純html的網頁如何被植入iframe
« 回覆 #5 於: 2009-01-18 01:46 »
個人好奇的是, 為何您要強調 iframe ?

HTML 被植入 iframe 可能是結果而非原因.

漏洞的來源有很多, 網站本身(OS/Service都有), 存取方式, CGI(php/asp)漏洞等等.
純 html 網頁也可能有 form 呼叫 CGI , CGI 有漏洞也可以修改網頁或對網站有破壞.
一個網站有數百個網頁, 只要有一個漏洞, 就可能被修改.

所以只提 html 跟 iframe , 個人覺得可能的原因太多了一點.
冷笑話: 我的 IP 是 127.0.0.1