標籤:

移動網路訪問「暗鏈」網頁的情況和檢測簡談

目前,通過手機瀏覽器上網的行為佔比,除了APP之外,應該可以排在第二,其中,瀏覽器的類型,包括手機終端自帶瀏覽器,或,從應用市場下載瀏覽器。

這種類型的瀏覽器,在瀏覽網頁的時候,除了Chrome/QQ瀏覽器等會自帶部分URL檢測功能之外,其他品牌瀏覽器很少會對網站的安全性進行檢查。

實際上,用戶在通過手機終端進行網頁瀏覽訪問時,傳統PC上出現的惡意行為目前在移動終端上正在發生,這裡說一種情況,那就是網頁中包含的「暗鏈」情況,簡單說,這種鏈接通過JS代碼實現,但對用戶透明,但當用戶的瀏覽器載入該網頁的時候,通過觸屏操作,會出發暗鏈關聯代碼的執行動作,這種動作背後通常包括流量的產生和資費的消耗,比如,通過重定向或後台下載應用的方式,增加指定站點的點擊數或APP或組件的下載數,從另一方面進行獲利。

針對這種包含暗鏈的網頁,目前主流瀏覽器並沒提供針對性的檢測方式(考慮到js變化的多樣性以及混淆加密等方式的存在),所以導致,很多用戶在訪問此類站點的時候,會「被消費」。從這個角度出發,一、通用檢測方式,通過對海量網頁代碼的抓取,進行分析,對可能產生惡意行為的UR進行歸類和JS代碼特徵的提取,形成網頁JS惡意特徵庫,可以提供給瀏覽器或第三方APP通過SDK方式在發現進行網頁訪問行為的時候進行調用;二、對於複雜經過混淆加密的JS,混淆的內容,可以通過已有反混淆工具進行解密後,進行惡意性判斷,對於產生惡意行為的網頁,參考通用檢測方式進行特徵摘取,對於加密抗分析的JS代碼,可以通過在沙盒中運行的方式,對其執行邏輯進行跟蹤和數據摘取(訪問目標地址,訪問數據動作),判斷該部分JS代碼是否具有惡意特性,如果具有,同樣參考通用檢測方式進行特徵摘取;對於只有空結構的JS代碼,需要採用爬蟲技術,對其實際調用的JS源進行代碼數據的獲取和檢測,結合「一」和「二」提供的方式,對獲取的爬蟲數據進行安全性分析(這裡爬蟲深度可以根據網頁業務的權重進行定義)。

因為移動設備和用戶的流量,支付,交易關聯更加緊密,通過網頁進行內容訪問的行為也會佔到相當比重,所以,針對這種情況,這裡簡單探討了一下大概思路。

推薦閱讀:

垂直電梯都有什麼安全措施?
去哪兒網上南京20元甚至10元一晚的青年旅社女生床位安全嗎?可以住嗎?
金融安全資訊精選 2017年第一期:雲戰略下的安全思維轉型與新認知

TAG:安全 |