URLMon系统提供恶意链接检测能力,地址:https://urlscan.watcherlab.com/
系统提供API接口,可通过接口提交URL进行自动化检测。
本文主要介绍专项能力之URL暗链的检测。暗链也称黑链,即隐蔽链接。一般来说,暗链是由攻击者入侵网站后植入的,暗链在网页页面上不可见或者极易被忽略,但是搜索引擎仍然可以通过分析网页的源代码收录这些链接。
暗链指向的网站绝大多数是博彩、非法游戏私服、虚假医疗、办证等黑灰色产业,其中博彩类域名数量最多。而暗链宿主往往是权重较高的网页,例如政府网站、教育网站等。
html隐藏型暗链指通过css或者JavaScript代码隐藏暗链,通常是通过position为负数,或者将display设置为none等方式来隐藏,目的是为了提升非法网站的SEO排名,这种暗链已经相对较少了。
2 JS 引 入 型 暗 链
通过修改网站title,引入外部JavaScript代码来将暗链植入被害网站。常见的有以下几种。
1)利用<meta>标签插入链接
位于网页html源码头部内的<meta>标签,提供有关页面的元信息,是搜索引擎判定网页内容的主要根据, 攻击者可以在标签中插入大量与网页不相关的词语以及链接。
2)JavaScript中String.fromCharCode方法引入暗链
暗链比较多的一种,原理是通过String.fromCharCode函数将10进制ascii码转换为正常的字符,然后调用document.wirte方法写入当前页面。
3)eval函数混淆
JavaScript中eval函数混淆引入:使用了document.write方法将外部JavaScript代码引入当前页面,使用了eval函数进行混淆。
我们会逐步推出URLMon系统的各种实践场景,欢迎您关注!
叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):URLMon应用实践(5):阒寂无声,网页“暗链”的自动化识别
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论