搜索引擎投毒仍是重要的攻擊方式：如何防范

一、什么是搜索引擎投毒？搜索引擎投毒這種攻擊，能夠利用搜索引擎來顯示搜索結(jié)果，該結(jié)果包含著對交付惡意軟件的網(wǎng)站的一個(gè)或多個(gè)引用。有多種方法可以執(zhí)行搜索引擎投毒，其中包括控制流行網(wǎng)站、使用搜索引擎的“贊助”鏈接，其目的都是為了鏈接到惡意網(wǎng)站，進(jìn)而注入惡意代碼。此外，攻擊者通過操縱搜索引擎來返回搜索結(jié)果(該結(jié)果包含著對感染了跨站腳本的網(wǎng)站的引用)，也可以實(shí)施搜索引擎投毒。受感染的網(wǎng)頁將輕信的用戶重新定向到惡意網(wǎng)站。在該用戶點(diǎn)擊這些鏈接時(shí)，其計(jì)算機(jī)就有可能感染惡意軟件。這種伎倆很不一般，因?yàn)樗⒉灰蠊粽呖刂苹蚬ト肴魏畏?wù)器。二、攻擊原理與步驟首先，攻擊者搭建一臺在收到請求后就交付惡意軟件的服務(wù)器?？赏ㄟ^不同的方法來交付惡意軟件，如通過一個(gè)能夠利用瀏覽器漏洞的HTML頁面或其它方法。然后，攻擊者獲得一系列易于遭受跨站腳本攻擊的URL。為了產(chǎn)生攻擊效果，這些URL必須從搜索引擎給出的搜索結(jié)果中排名靠前的域名中取得。攻擊者通常會(huì)通過搜索引擎查找一些專門偽造的搜索詞，這些搜索詞往往能夠泄露特定漏洞的存在。下一步，攻擊者使用這些URL，根據(jù)有漏洞的URL創(chuàng)建大量的專門偽造的URL，其中包括目標(biāo)關(guān)鍵詞和一段能夠與惡意軟件交付服務(wù)器進(jìn)行交互的腳本。然后，攻擊者獲得一個(gè)支持簡單用戶內(nèi)容生成的應(yīng)用程序清單，如一些論壇程序。攻擊者會(huì)用各種專門仿造的URL，使網(wǎng)頁的內(nèi)容泛濫，并有可能包含多個(gè)鏈接，并使其接受不同的應(yīng)用程序。此后，流行的搜索引擎在掃描整個(gè)web，就會(huì)選取專門偽造的URL，并跟蹤這些URL，進(jìn)而對這些網(wǎng)頁進(jìn)行索引。其結(jié)果是，目標(biāo)關(guān)鍵詞與專門偽造的URL發(fā)生了關(guān)聯(lián)。由于攻擊者選取了高優(yōu)先級的域名作為開始，而且由于對這些URL的大量引用，受到“投毒”的搜索結(jié)果的排名當(dāng)然就靠前了。最后，搜索這些關(guān)鍵詞且容易輕信的用戶單擊這些URL中的一個(gè)鏈接，其計(jì)算機(jī)便容易被感染惡意軟件?？傊阉饕嫱抖疽子趯?shí)施，卻難被搜索引擎檢測到。這種伎倆的目標(biāo)是誘導(dǎo)無辜的搜索者到達(dá)惡意網(wǎng)站或欺詐網(wǎng)站。例如，攻擊者利用機(jī)器人程序生成大量的用戶名，在論壇上彼此發(fā)布擁有許多鏈接的帖子進(jìn)行討論，顯得不亦樂乎。對搜索引擎來說，這倒是一個(gè)好事兒，既然有這么多用戶牽涉進(jìn)來，因而搜索引擎便把這種網(wǎng)頁放在顯赫的位置。在某個(gè)用戶單擊了其中的某個(gè)鏈接后，就會(huì)打開一個(gè)鏈接到色情或購物網(wǎng)站的網(wǎng)頁。在用戶再次單擊后，該鏈接就會(huì)將惡意軟件安裝到用戶的計(jì)算機(jī)上，進(jìn)而對用戶實(shí)施欺詐或其它犯罪活動(dòng)。三、防范攻擊者以這種方式濫用網(wǎng)站可以導(dǎo)致企業(yè)的商譽(yù)和品牌受到破壞，丟失客戶和潛在的訪客。而且，這種攻擊對網(wǎng)站的可訪問性造成明顯的負(fù)面影響，這會(huì)導(dǎo)致搜索引擎將URL引用標(biāo)記為“有害”或“危險(xiǎn)”，甚至被完全地從搜索索引中刪除，從而使企業(yè)遭受嚴(yán)重的經(jīng)濟(jì)損失。從管理層面來說，系統(tǒng)管理員可以使用一個(gè)具備“黑名單”功能的安全網(wǎng)關(guān)，截獲被列入“黑名單”的網(wǎng)站上的所有通信，從而阻止一些不確定的或具有潛在威脅的URL分類，從而阻止搜索引擎投毒的危害。此外，保護(hù)好公司自己的網(wǎng)站(博客和用戶論壇)也很重要，因?yàn)檫@樣做就不會(huì)使其成為搜索引擎投毒的幫兇。保護(hù)Web應(yīng)用程序免受XSS攻擊可以防止這些網(wǎng)站被攻擊者用作發(fā)動(dòng)搜索引擎投毒的媒介。從用戶層面來說，防止搜索引擎投毒攻擊要從提升搜索用戶的認(rèn)識水平開始。研究發(fā)現(xiàn)，雖然許多人已經(jīng)理解在郵件中可能包含