- Văn bản
- Lịch sử
Malicious web content has become th
Malicious web content has become the primary instrument used
by miscreants to perform their attacks on the Internet. In particular,
attacks that target web clients, as opposed to infrastructure components, have become pervasive [28].
Drive-by downloads are a particularly common and insidious
form of such attacks [29]. In a drive-by download, a victim is lured
to a malicious web page. The page contains code, typically written in the JavaScript language, that exploits vulnerabilities in the
Copyright is held by the International World Wide Web Conference Committee (IW3C2). Distribution of these papers is limited to classroom use,
and personal use by others.
WWW 2010, April 26–30, 2010, Raleigh, North Carolina, USA.
ACM 978-1-60558-799-8/10/04.
user’s browser or in the browser’s plugins. If successful, the exploit downloads malware on the victim machine, which, as a consequence, often becomes a member of a botnet.
Several factors have contributed to making drive-by-download
attacks very effective. First, vulnerabilities in web clients are widespread (in 2008, such vulnerabilities constituted almost 15% of the
reports in the CVE repository [18]), and vulnerable web clients
are commonly used (about 45% of Internet users use an outdated
browser [8]). Second, attack techniques to reliably exploit web
client vulnerabilities are well-documented [4, 33–35]. Third, sophisticated tools for automating the process of fingerprinting the
user’s browser, obfuscating the exploit code, and delivering it to the
victim, are easily obtainable (e.g., NeoSploit, and LuckySploit [15]).
The mix of widespread, vulnerable targets and effective attack
mechanisms has made drive-by downloads the technique of choice
to compromise large numbers of end-user machines. In 2007, Provos et al. [28] found more than three million URLs that launched
drive-by-download attacks. Even more troubling, malicious URLs
are found both on rogue web sites, that are set up explicitly for
the purpose of attacking unsuspecting users, and on legitimate web
sites, that have been compromised or modified to serve the malicious content (high-profile examples include the Department of
Homeland Security and the BusinessWeek news outlet [10, 11]).
A number of approaches have been proposed to detect malicious web pages. Traditional anti-virus tools use static signatures
to match patterns that are commonly found in malicious scripts [2].
Unfortunately, the effectiveness of syntactic signatures is thwarted
by the use of sophisticated obfuscation techniques that often hide
the exploit code contained in malicious pages. Another approach
is based on low-interaction honeyclients, which simulate a regular browser and rely on specifications to match the behavior, rather
than the syntactic features, of malicious scripts (for example, invoking a method of an ActiveX control vulnerable to buffer overflows
with a parameter longer than a certain length) [14, 23]. A problem with low-interaction honeyclients is that they are limited by the
coverage of their specification database; that is, attacks for which a
specification is not available cannot be detected. Finally, the stateof-the-art in malicious JavaScript detection is represented by highinteraction honeyclients. These tools consist of full-featured web
browsers typically running in a virtual machine. They work by
monitoring all modifications to the system environment, such as
files created or deleted, and processes launched [21, 28, 37, 39]. If
any unexpected modification occurs, this is considered as the manifestation of an attack, and the corresponding page is flagged as
malicious. Unfortunately, also high-interaction honeyclients have
limitations. In particular, an attack can be detected only if the vulnerable component (e.g., an ActiveX control or a browser plugin)
targeted by the exploit is installed and correctly activated on the de
by miscreants to perform their attacks on the Internet. In particular,
attacks that target web clients, as opposed to infrastructure components, have become pervasive [28].
Drive-by downloads are a particularly common and insidious
form of such attacks [29]. In a drive-by download, a victim is lured
to a malicious web page. The page contains code, typically written in the JavaScript language, that exploits vulnerabilities in the
Copyright is held by the International World Wide Web Conference Committee (IW3C2). Distribution of these papers is limited to classroom use,
and personal use by others.
WWW 2010, April 26–30, 2010, Raleigh, North Carolina, USA.
ACM 978-1-60558-799-8/10/04.
user’s browser or in the browser’s plugins. If successful, the exploit downloads malware on the victim machine, which, as a consequence, often becomes a member of a botnet.
Several factors have contributed to making drive-by-download
attacks very effective. First, vulnerabilities in web clients are widespread (in 2008, such vulnerabilities constituted almost 15% of the
reports in the CVE repository [18]), and vulnerable web clients
are commonly used (about 45% of Internet users use an outdated
browser [8]). Second, attack techniques to reliably exploit web
client vulnerabilities are well-documented [4, 33–35]. Third, sophisticated tools for automating the process of fingerprinting the
user’s browser, obfuscating the exploit code, and delivering it to the
victim, are easily obtainable (e.g., NeoSploit, and LuckySploit [15]).
The mix of widespread, vulnerable targets and effective attack
mechanisms has made drive-by downloads the technique of choice
to compromise large numbers of end-user machines. In 2007, Provos et al. [28] found more than three million URLs that launched
drive-by-download attacks. Even more troubling, malicious URLs
are found both on rogue web sites, that are set up explicitly for
the purpose of attacking unsuspecting users, and on legitimate web
sites, that have been compromised or modified to serve the malicious content (high-profile examples include the Department of
Homeland Security and the BusinessWeek news outlet [10, 11]).
A number of approaches have been proposed to detect malicious web pages. Traditional anti-virus tools use static signatures
to match patterns that are commonly found in malicious scripts [2].
Unfortunately, the effectiveness of syntactic signatures is thwarted
by the use of sophisticated obfuscation techniques that often hide
the exploit code contained in malicious pages. Another approach
is based on low-interaction honeyclients, which simulate a regular browser and rely on specifications to match the behavior, rather
than the syntactic features, of malicious scripts (for example, invoking a method of an ActiveX control vulnerable to buffer overflows
with a parameter longer than a certain length) [14, 23]. A problem with low-interaction honeyclients is that they are limited by the
coverage of their specification database; that is, attacks for which a
specification is not available cannot be detected. Finally, the stateof-the-art in malicious JavaScript detection is represented by highinteraction honeyclients. These tools consist of full-featured web
browsers typically running in a virtual machine. They work by
monitoring all modifications to the system environment, such as
files created or deleted, and processes launched [21, 28, 37, 39]. If
any unexpected modification occurs, this is considered as the manifestation of an attack, and the corresponding page is flagged as
malicious. Unfortunately, also high-interaction honeyclients have
limitations. In particular, an attack can be detected only if the vulnerable component (e.g., an ActiveX control or a browser plugin)
targeted by the exploit is installed and correctly activated on the de
0/5000
Nội dung trang web độc hại đã trở thành công cụ chính được sử dụngbởi miscreants để thực hiện các cuộc tấn công trên Internet. Đặc biệt,cuộc tấn công nhắm mục tiêu khách hàng web, như trái ngược với các thành phần cơ sở hạ tầng, đã trở thành phổ biến [28].Đua xe tải là một đặc biệt là phổ biến và xảo quyệthình thức của các cuộc tấn công [29]. Trong một đua xe tải về, một nạn nhân thu hútđể một trang web độc hại. Trang có chứa mã, thường viết bằng ngôn ngữ JavaScript, khai thác lỗ hổng trong cácBản quyền được tổ chức bởi Ủy ban hội nghị World Wide Web quốc tế (IW3C2). Phân phối các giấy tờ được giới hạn để sử dụng trong lớp học,và cá nhân sử dụng bởi những người khác.WWW 2010, Tháng ba 26-30, 2010, Raleigh, North Carolina, Hoa Kỳ.ACM 978-1-60558-799-8/10/04.trình duyệt của người dùng hoặc trong phần bổ trợ của trình duyệt. Nếu thành công, khai thác tải phần mềm độc hại trên máy tính của nạn nhân, mà, kết quả là, thường trở thành một thành viên của một botnet.Một số yếu tố đã góp phần làm cho ổ đĩa bằng cách tải vềcuộc tấn công rất hiệu quả. Trước tiên, các lỗ hổng trong ứng dụng khách web được phổ biến rộng rãi (trong năm 2008, các lỗ hổng chiếm gần 15% của cácbáo cáo trong kho CVE [18]), và dễ bị tổn thương web khách hàngthường được sử dụng (khoảng 45% người dùng Internet sử dụng một lỗi thờitrình duyệt [8]). Thứ hai, tấn công kỹ thuật đáng tin cậy khai thác weblỗ hổng khách hàng là các tài liệu [4, 33-35]. Thứ ba, tinh vi công cụ để tự động hoá quá trình fingerprinting cáctrình duyệt của người dùng, obfuscating mã khai thác, và cung cấp nó để cácnạn nhân, là có thể đạt được một cách dễ dàng (ví dụ như, NeoSploit, và LuckySploit [15]).Sự pha trộn của mục tiêu phổ biến rộng rãi, dễ bị tổn thương và tấn công hiệu quảcơ chế đã làm cho đua xe tải các kỹ thuật của sự lựa chọnđể thỏa hiệp các số lượng lớn của người dùng cuối máy. Trong năm 2007, Provos et al. [28] tìm thấy nhiều hơn ba triệu URL mà đưa ralái xe bằng cách tải về cuộc tấn công. Hơn đáng lo ngại, độc hại URLđược tìm thấy cả hai trên các trang web rogue, mà được thiết lập một cách rõ ràng nhấtmục đích tấn công người dùng không ngờ, và trên các trang web hợp phápCác trang web, mà đã được thỏa hiệp hoặc cải tiến để phục vụ nội dung độc hại (cấu hình cao ví dụ bao gồm tỉnhAn ninh quốc gia và các cửa hàng tin tức BusinessWeek [10, 11]).Một số phương pháp tiếp cận đã được đề xuất để phát hiện các trang web độc hại. Truyền thống chống vi-rút công cụ sử dụng tĩnh chữ kýđể phù hợp với mô hình phổ biến được tìm thấy trong script độc hại [2].Thật không may, hiệu quả của các cú pháp chữ ký cản trởbằng cách sử dụng kỹ thuật tinh vi obfuscation thường ẩnmã khai thác chứa trong trang web độc hại. Một cách tiếp cậnDựa trên tương tác thấp honeyclients, mà mô phỏng một trình duyệt thường xuyên và dựa vào thông số kỹ thuật để phù hợp với các hành vi, thay vào đóso với các tính năng cú pháp, các kịch bản độc hại (ví dụ, gọi một phương pháp của một ActiveX kiểm soát dễ bị tổn thương để đệm trànvới một tham số dài hơn chiều dài nhất định) [14, 23]. Một vấn đề với tương tác thấp honeyclients là họ được giới hạn bởi cácvùng phủ sóng của cơ sở dữ liệu đặc điểm kỹ thuật của họ; có nghĩa là, các cuộc tấn công mà mộtđặc điểm kỹ thuật là không có sẵn không thể được phát hiện. Cuối cùng, bác đại trong độc hại dung JavaScript phát hiện được đại diện bởi highinteraction honeyclients. Những công cụ này bao gồm đầy đủ tính năng webtrình duyệt thường chạy trong máy ảo. Họ làm việc bằngGiám sát tất cả sửa đổi cho môi trường hệ thống, chẳng hạn nhưtập tin tạo ra hoặc bị xóa, và quá trình đưa ra [21, 28, 37, 39]. Nếubất kỳ sửa đổi bất ngờ xảy ra, điều này được coi là biểu hiện của một cuộc tấn công, và trang tương ứng được đánh dấu nhưđộc hại. Thật không may, cũng tương tác cao honeyclients cóhạn chế. Đặc biệt, một cuộc tấn công có thể được phát hiện chỉ nếu thành phần dễ bị tổn thương (ví dụ như, một điều khiển ActiveX hoặc một plugin trình duyệt)nhắm mục tiêu của việc khai thác được cài đặt và kích hoạt một cách chính xác trên de
đang được dịch, vui lòng đợi..
Nội dung web độc hại đã trở thành công cụ chính được sử dụng
bởi kẻ tội phạm để thực hiện các cuộc tấn công của họ trên Internet. Đặc biệt,
các cuộc tấn công nhắm vào các khách hàng web, như trái ngược với các thành phần cơ sở hạ tầng, đã trở nên phổ biến [28].
Drive-by download là một đặc biệt phổ biến và ngấm ngầm
hình thức tấn công như vậy [29]. Trong một drive-by download, một nạn nhân bị dụ dỗ
đến một trang web độc hại. Các trang web có chứa mã, thường được viết bằng ngôn ngữ JavaScript, mà khai thác lỗ hổng trong các
Bản quyền được tổ chức bởi World Wide Web Hội nghị Ủy ban quốc tế (IW3C2). Phân phối của các giấy tờ được giới hạn sử dụng trong lớp học,
và sử dụng cá nhân của người khác.
WWW năm 2010, ngày 26-ngày 30 tháng 4, 2010, Raleigh, Bắc Carolina, Mỹ.
978-1-60558-799-8 / 10/04. ACM
trình duyệt của người dùng hoặc trong các plugin của trình duyệt. Nếu thành công, khai thác tải phần mềm độc hại trên máy tính nạn nhân, trong đó, như một hệ quả, thường trở thành một thành viên của một botnet.
Một số yếu tố đã góp phần làm cho drive-by-download
tấn công rất hiệu quả. Đầu tiên, các lỗ hổng trong các khách hàng web khá phổ biến (trong năm 2008, lỗ hổng bảo mật như vậy được thành lập gần 15% của
báo cáo trong kho CVE [18]), và các khách hàng web dễ bị tổn thương
thường được sử dụng (khoảng 45% người dùng Internet sử dụng một lỗi thời
trình duyệt [8 ]). Thứ hai, kỹ thuật tấn công khai thác đáng tin cậy web
lỗ hổng của khách hàng được tốt tài liệu [4, 33-35]. Thứ ba, công cụ tinh vi để tự động hoá quá trình vân tay các
trình duyệt của người dùng, Obfuscating mã khai thác, và cung cấp cho các
nạn nhân, có thể dễ dàng đạt được (ví dụ, NeoSploit, và LuckySploit [15]).
Sự kết hợp của, mục tiêu dễ bị tổn thương phổ biến rộng rãi và hiệu quả tấn công
cơ chế đã tải drive-by kỹ thuật được chọn
để thỏa hiệp một số lượng lớn các máy người dùng cuối. Trong năm 2007, Provos et al. [28] tìm thấy hơn ba triệu URL mà đưa ra
drive-by-download các cuộc tấn công. Thậm chí đáng lo ngại hơn, các URL độc hại
được tìm thấy cả trên các trang web giả mạo, được thiết lập một cách rõ ràng cho
mục đích tấn công người dùng không nghi ngờ, và trên web hợp pháp
các trang web, mà đã bị tổn hại hoặc sửa đổi để phục vụ các nội dung độc hại (ví dụ cao cấp bao gồm Bộ
An ninh Nội địa và các cửa hàng tin BusinessWeek [10, 11]).
Một số phương pháp đã được đề xuất để phát hiện các trang web độc hại. Các công cụ chống virus truyền thống sử dụng chữ ký tĩnh
để phù hợp với mô hình mà thường được tìm thấy trong các kịch bản độc hại [2].
Thật không may, hiệu quả của chữ ký cú pháp bị cản trở
bởi việc sử dụng các kỹ thuật gây rối phức tạp mà thường ẩn
chứa mã khai thác trong các trang độc hại. Một cách tiếp cận
dựa trên honeyclients tương tác thấp, mà mô phỏng một trình duyệt thường xuyên và dựa vào chi tiết kỹ thuật để phù hợp với hành vi, chứ không phải
so với các tính năng cú pháp, các script độc hại (ví dụ, cách gọi một phương thức của một điều khiển ActiveX dễ bị lỗi tràn bộ đệm
với một tham số dài hơn một độ dài nhất định) [14, 23]. Một vấn đề với honeyclients tương tác thấp là họ bị hạn chế bởi
phạm vi của cơ sở dữ liệu đặc điểm kỹ thuật của họ; có nghĩa là, các cuộc tấn công mà một
đặc điểm kỹ thuật là không có sẵn không thể được phát hiện. Cuối cùng, stateof-the-nghệ thuật trong việc phát hiện JavaScript độc hại được đại diện bởi highinteraction honeyclients. Những công cụ này bao gồm các trang web đầy đủ tính năng
trình duyệt thường chạy trong một máy ảo. Họ làm việc bằng cách
theo dõi tất cả các sửa đổi đối với môi trường hệ thống, chẳng hạn như
các tập tin được tạo ra hoặc bị xóa, và các quá trình đưa ra [21, 28, 37, 39]. Nếu
bất kỳ sửa đổi bất ngờ xảy ra, điều này được coi là biểu hiện của một cuộc tấn công, và các trang tương ứng được gắn cờ là
độc hại. Thật không may, cũng honeyclients tương tác cao có
hạn chế. Đặc biệt, một cuộc tấn công có thể được phát hiện chỉ khi các thành phần dễ bị tổn thương (ví dụ, một điều khiển ActiveX hoặc một plugin trình duyệt)
mục tiêu của khai thác được cài đặt và kích hoạt một cách chính xác trên de
bởi kẻ tội phạm để thực hiện các cuộc tấn công của họ trên Internet. Đặc biệt,
các cuộc tấn công nhắm vào các khách hàng web, như trái ngược với các thành phần cơ sở hạ tầng, đã trở nên phổ biến [28].
Drive-by download là một đặc biệt phổ biến và ngấm ngầm
hình thức tấn công như vậy [29]. Trong một drive-by download, một nạn nhân bị dụ dỗ
đến một trang web độc hại. Các trang web có chứa mã, thường được viết bằng ngôn ngữ JavaScript, mà khai thác lỗ hổng trong các
Bản quyền được tổ chức bởi World Wide Web Hội nghị Ủy ban quốc tế (IW3C2). Phân phối của các giấy tờ được giới hạn sử dụng trong lớp học,
và sử dụng cá nhân của người khác.
WWW năm 2010, ngày 26-ngày 30 tháng 4, 2010, Raleigh, Bắc Carolina, Mỹ.
978-1-60558-799-8 / 10/04. ACM
trình duyệt của người dùng hoặc trong các plugin của trình duyệt. Nếu thành công, khai thác tải phần mềm độc hại trên máy tính nạn nhân, trong đó, như một hệ quả, thường trở thành một thành viên của một botnet.
Một số yếu tố đã góp phần làm cho drive-by-download
tấn công rất hiệu quả. Đầu tiên, các lỗ hổng trong các khách hàng web khá phổ biến (trong năm 2008, lỗ hổng bảo mật như vậy được thành lập gần 15% của
báo cáo trong kho CVE [18]), và các khách hàng web dễ bị tổn thương
thường được sử dụng (khoảng 45% người dùng Internet sử dụng một lỗi thời
trình duyệt [8 ]). Thứ hai, kỹ thuật tấn công khai thác đáng tin cậy web
lỗ hổng của khách hàng được tốt tài liệu [4, 33-35]. Thứ ba, công cụ tinh vi để tự động hoá quá trình vân tay các
trình duyệt của người dùng, Obfuscating mã khai thác, và cung cấp cho các
nạn nhân, có thể dễ dàng đạt được (ví dụ, NeoSploit, và LuckySploit [15]).
Sự kết hợp của, mục tiêu dễ bị tổn thương phổ biến rộng rãi và hiệu quả tấn công
cơ chế đã tải drive-by kỹ thuật được chọn
để thỏa hiệp một số lượng lớn các máy người dùng cuối. Trong năm 2007, Provos et al. [28] tìm thấy hơn ba triệu URL mà đưa ra
drive-by-download các cuộc tấn công. Thậm chí đáng lo ngại hơn, các URL độc hại
được tìm thấy cả trên các trang web giả mạo, được thiết lập một cách rõ ràng cho
mục đích tấn công người dùng không nghi ngờ, và trên web hợp pháp
các trang web, mà đã bị tổn hại hoặc sửa đổi để phục vụ các nội dung độc hại (ví dụ cao cấp bao gồm Bộ
An ninh Nội địa và các cửa hàng tin BusinessWeek [10, 11]).
Một số phương pháp đã được đề xuất để phát hiện các trang web độc hại. Các công cụ chống virus truyền thống sử dụng chữ ký tĩnh
để phù hợp với mô hình mà thường được tìm thấy trong các kịch bản độc hại [2].
Thật không may, hiệu quả của chữ ký cú pháp bị cản trở
bởi việc sử dụng các kỹ thuật gây rối phức tạp mà thường ẩn
chứa mã khai thác trong các trang độc hại. Một cách tiếp cận
dựa trên honeyclients tương tác thấp, mà mô phỏng một trình duyệt thường xuyên và dựa vào chi tiết kỹ thuật để phù hợp với hành vi, chứ không phải
so với các tính năng cú pháp, các script độc hại (ví dụ, cách gọi một phương thức của một điều khiển ActiveX dễ bị lỗi tràn bộ đệm
với một tham số dài hơn một độ dài nhất định) [14, 23]. Một vấn đề với honeyclients tương tác thấp là họ bị hạn chế bởi
phạm vi của cơ sở dữ liệu đặc điểm kỹ thuật của họ; có nghĩa là, các cuộc tấn công mà một
đặc điểm kỹ thuật là không có sẵn không thể được phát hiện. Cuối cùng, stateof-the-nghệ thuật trong việc phát hiện JavaScript độc hại được đại diện bởi highinteraction honeyclients. Những công cụ này bao gồm các trang web đầy đủ tính năng
trình duyệt thường chạy trong một máy ảo. Họ làm việc bằng cách
theo dõi tất cả các sửa đổi đối với môi trường hệ thống, chẳng hạn như
các tập tin được tạo ra hoặc bị xóa, và các quá trình đưa ra [21, 28, 37, 39]. Nếu
bất kỳ sửa đổi bất ngờ xảy ra, điều này được coi là biểu hiện của một cuộc tấn công, và các trang tương ứng được gắn cờ là
độc hại. Thật không may, cũng honeyclients tương tác cao có
hạn chế. Đặc biệt, một cuộc tấn công có thể được phát hiện chỉ khi các thành phần dễ bị tổn thương (ví dụ, một điều khiển ActiveX hoặc một plugin trình duyệt)
mục tiêu của khai thác được cài đặt và kích hoạt một cách chính xác trên de
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Later, Jay Berry decides to take a break
- dafalgan codéine
- May
- tôi có một căn phòng khá dễ thương. nó n
- Mind
- dafalgan codéinecomprimé pelliculé
- 사람엔터테인먼트에서 운영하는 배우 고성희의 공식 페이스북 페이지입니다.
- tôi chọn bài viết này vì tôi cho rằng qu
- Named Entity Recognition (NER), an infor
- I can not hear a wordI said angrilyIt is
- Could
- Opmizer intensive boosting lotion
- Should
- I can not hear a wordI said angrilyIt is
- Cửa máy bay Boeing 777 được lắp ráp tại
- I can not hear a wordI said angrilyIt is
- This is my last semester at Kansas State
- This
- Tôi không biết tiếng Hàn.
- I can not hear a wordI said angrilyIt is
- Addresses current issues
- They
- relation
- i'm trying to decide whether alison or b
