隐藏在网站CSS中的窃密脚本 (网站隐藏入口)

教程大全 2025-07-08 21:38:01 浏览次

在过去的两年里，网络犯罪分子使用了各种各样的方法来在网上商城的各个地方隐藏针对Credit Card的信息窃取代码，以防止被安全检测方案所发现，而这些信息窃取代码也被称之为Web Skimmer或Magecart脚本。

在此之前，研究人员曾在网站Logo、缩略图标、内部图像、实时聊天窗口、社交媒体分享按钮以及热门JavaScript库中发现过Web Skimmer的身影。但是，最近发现的恶意代码宿主已经涉及到了CSS文件了。

CSS文件代表层叠样式表，在浏览器内使用CSS文件可以加载各种规则以对网页元素进行样式化定义。这些CSS文件通常包含描述各种页面元素的颜色、文本大小、各种元素之间的填充、字体设置等的相关代码。

然而，现在的CSS已经不是21世纪初的样子了。在在过去的十年里，CSS语言已经发展成为了一种强大的实用工具，Web开发人员现在正在使用它来创建强大的动画，而很少甚至几乎没有人会选择使用JavaScript。

CSS语言最近增加的一个功能，即添加CSS变量，这种变量可以用于存储某些之后需要复用或调用的内容。

荷兰安全公司Sanguine Security(SanSec)的创始人Willem de Groot表示，目前至少有一个网络犯罪团伙正在使用CSS变量来进行攻击。Web skimmer团伙首先会获取一个在线商店的访问权限，然后修改其CSS和JavaScript文件，并向其中注入恶意代码。

在CSS代码中，他们会添加一个CSS变量，这个变量中存储的是他们需要在被攻击商店中加载Web Skimmer代码的URL地址，而这个CSS变量会通过一个看似无害的JavaScript代码(注入到在线商店中的其他地方)中进行调用。

下图显示的是CSS文件中的CSS变量：

下图显示的是JavaScript代码调用CSS变量的代码段：

Web安全工具通常只扫描JavaScript代码，而不会扫描CSS文件。除此之外，它们只会扫描JavaScript代码的静态版本，而并不会实际执行这些JavaScript脚本。

这样做是为了避免在网上商店里制造空的购物车或影响在线商店的分析平台。这也就意味着，隐藏在CSS变量中的恶意代码在大多数平台上都不会被发现，即使这些网站使用了功能强大的Web应用程序防火墙和Web安全扫描器。

Willem de Groot表示，他们在最新发现的Web Skimmer代码之中，发现了一个标准的键盘记录程序。自从通过Twitter发布了相关报告之后，它似乎在一个小时之后就被下线了。他说到：“我们还发现了一些其他受此技术感染的在线商店，然而这些基础设施自今年9月份以来貌似就已经上线了，因为此前还有十多次传统攻击也使用过这些基础设施。由此我们推断，这些CSS文件貌似是攻击者进行新技术实验的一个部分。”

尽管这种通过使用CSS规则作为代理来加载Web Skimmer代码的技术无疑是一种创新，但Willem de Groot也表示在线商店的店主或者在线购物用户其实并不用过多的担心。他表示：“虽然大多数研究都涉及到了JavaScript Skimming攻击，但大部分的Skimming都发生在服务器上，而我们是无法在服务器上观察到相关攻击行为的。在今年我们所进行的取证调查活动中，我们发现在65%的攻击情况下，服务器端Skimmer代码隐藏在数据库、PHP代码或linux系统进程之中。”

正如ZDNet周一在一篇关于SanSec另一项调查结果的文章中所解释的那样，购物者保护自己免受Web Skimmer攻击的最简单方法就是使用为一次性付款设计的虚拟支付卡。这些卡片由一些银行或在线支付服务商提供，允许购物者在虚拟卡片中存入一笔固定金额的钱，该卡在一次交易或一小段时间后将会到期。如果卡片的详细信息被攻击者窃取，那么一旦虚拟卡过期，卡片数据将不再有效。

如何在我的网页里屏蔽我的右键

众所周知，要保护一个页面，最基础的就是要屏蔽右键。而现在网页上用得最多的是function click()，即下面这段代码：〈script〉 function click(){ if(==2){ alert( 本网站欢迎您 !!); } } =click 〈/script〉但是这种屏蔽方法的破解方法也是众所周知的。那就是连续单击鼠标左键和右键便又可以看到右键菜单了。但是，我见过一种很好的屏蔽右键的方法。它的原理和上面所说的不同。它并不是用JS来编写的脚本，而是利用定义网页属性来起到限制的作用。而且，在屏蔽中应该尽量的避开使用JS脚本。因为只要浏览者把IE里的javascript脚本禁用了。那么一切屏蔽都白费。那么继续说那种通过修改网页属性的屏蔽右键的方法。这种方法利用了HTML里的〈body〉来作修改，它只有以下短短的一行代码：〈body oncontextmenu==false〉这里，定义了oncontextmenu。使得右键的值为false，起到了屏蔽右键的效果。现在，再试试看刚才的破解方法，已经不行了。左右键连击已经不能再打开右键菜单。不但是这个，再试试看其他的方法。无论你怎样的乱点，右键都没有用。因为在这个网页里，右键已经不存在了。对于一个不存在的功能键，你又能做什么呢？但是，屏蔽了右键还不能解决问题。如果我要复制一段文字，或是一张图片。那么，把它选中后用ctrl+C 再用 ctrl+V不就可以复制粘贴了嘛。对了，接下来要讲的，就是屏蔽左键（什么？屏蔽左键？那这个网页不就差不多废掉了？别急，没说完呢，左键只有一项功能是很讨厌的）的选定功能。那么，如上所说，用JS来屏蔽是没有用的，治标不治本的。那么，我们就还用网页的最基础的语言：HTML来定义吧。还是老招数，定义〈body〉。这次用的参数是：onselectstart。就是左键选定的参数。代码如下：〈body onselectstart=return false〉这样，左键选定功能就给轻易屏蔽了。原理和上面的一样。现在，再用你的左键选择任意内容把，已经没有用了。自然也不能ctrl + C，ctrl +V了。那么，现在我们来把这两部分合并起来。彻底控制左右键！：〈body oncontextmenu==false onselectstart=return false〉现在，左右键的问题总算是解决了吧。好，现在我们来看另一个问题。大家都知道，在IE浏览器的菜单栏里的“查看”项里。有一个“查看源代码”选项。这么一来，虽然我们屏蔽了右键里的查看源代码。但是，只要用菜单栏里的查看源代码，还是可以看到源代码的。这可怎么办呢？我最初的想法是用框架来避开源代码的查看。也就是说，只要一个网页是嵌在框架里的，那么在菜单栏里选择查看源代码查看到的只是框架网页的源代码。一般格式如下：〈html〉〈head〉〈meta HTTP-EQUIV=Content-Type CONTENT=text/html; charset=gb2312〉〈title〉本网站标题〈/title〉〈/head〉〈frameset rows=47,* framespacing=0 border=0 frameborder=0〉〈frame scrolling=no noresize target=main src=〉〈frame src= scrolling=auto target=_self〉〈noframes〉〈body〉〈p〉此网页使用了框架，但您的浏览器不支持框架。〈/p〉〈/body〉〈/noframes〉〈/frameset〉〈/html〉这样看起来对方是没有直接看到你的源代码了。但是，如果一个人要看你的源代码，那他八成是能看懂的。如果懂一点HTML的话，都能看出这两句是什么意思：〈frame scrolling=no noresize target=main src=〉〈frame src= scrolling=auto target=_self〉这两句的意思就是：在header（也就是网页顶部）处引用相对路径下的网页文件。而在main（也就是占据网页大部分页面的位置）处引用相对路径下的网页文件。就这两点是关键的，其他就不作解释了，大家也都懂的。而上面所讲的利用框架来隐藏源代码的方法就是将要显示页面放在main部分。而将header部分的大小设为0。但是这样一来，利用菜单栏里的查看源代码，还是能查看到框架网页的源代码。只要看到这两句，就知道我们前面用的手法了。也就是说，只要将框架网页的名字改为目标网页，便可以用相同的方法直接看到目标网页的源代码了。如：框架网页：的源代码如上，就可以改为。这样便可直接浏览被保护网页，屏蔽源代码的效果还是没有达到。那么，有些人就会想到，如果对方看不到框架网页的源代码。又何谈去直接打开被保护网页？对，这就是接下来我要讲的。如果要一个页面的菜单栏内的查看源代码失去效用。那最简单的办法就是去掉菜单栏。而这一点是可以通过弹出窗口来实现的。之所以不选用超链接打开无菜单栏窗口是因为那样会暴露目标地址，浏览者可以直接在浏览器中敲入地址，而绕过这个屏蔽的菜单栏。要使用超链接打开无菜单栏窗口，就必须在一个已受到源代码屏蔽保障的网页中使用相关链接。那么，我们就看看如何利用弹出窗口来去掉菜单栏。其实，我们要做的，就是让目标网页在一个广告条中打开。这个代码几乎每个大型网站都会有的。代码如下：〈script〉〈!-- (, red, resizable=yes,width=500,height=300); --〉〈/script〉这里，在后的括号里的第一个参数就是弹出窗口所显示的网页的位置，这里例子里是先对位置下的网页文件。这时运行便会谈出一个显示有的无菜单栏的窗口。好，我们的目的达到了。但是，这个窗口有一个缺陷，就是没有滚动条。因为在谈出窗口的语句里并没有关于滚动条的参数，（或是我不知道？欢迎高手来信指出），所以这里打开的网页建议只做成网页的导航页。但是，用以上方法取消菜单栏，必须有一个第二方的网页来作弹出的工作。那么，这个用来弹出窗口的网页又成为了一个问题的所在。举例来说：假设，我们用一个来作弹出窗口的工作。也就是打开之后，会弹出的无菜单栏窗口。前面我们也提到了，如果知道了一个网页的地址后，无论这个网页是否隐藏在无菜单栏之下，你都能看到它的源代码。那么，不让这个的地址暴露也就成了解决这个问题的关键。但是，只要这个被打开，就可以看到源代码。但是，不妨反过来想想，如果我们把给关起来呢？只要在浏览者没有来得及查看之前将它关闭，就能保住它的源代码了。那么，在这个里就有得做些文章了。那就是，添加关闭网页的代码。那么，我们就可以用来关闭窗口。代码如下：〈script〉〈!-- (); --〉〈/script〉那么，现在我们把两部分代码合并起来。现在，得到的效果就是——直接有一个无菜单栏的窗口打开了。因为计算机的处理速度很快，如果我们将这两段代码紧接着写在一起，那么我们就只能看到新建的窗口。代码如下：〈script〉〈!-- (, red, resizable=yes,width=500,height=300); (); --〉〈/script〉而原来的窗口，已在我们无察觉的情况下关闭了。这样，就别说查看该网页的源代码了。这里，加入上面源代码的网页起了一个跳板的作用。但是，在这里，我们要注意几点。第一，用来做跳板的网页不应该命名为。将它换一个名字，然后把默认首页的名字改为更改过的名字。这样，是浏览者能在输入网之后便自动访问该页。而又不致让对方知道该页的名称。如果不这样做，就会导致对方猜测出该页的位置。如：172.0.0.0/。这样，就可以通过在浏览器中提交：View-Source:就可以看到该页的源代码了。在屏蔽掉了菜单栏和工具栏之后，我们想，如果没有了最上方的窗口条该多好呢？下面我们要做的事情，有前提，就是在上面所说的在利用跳板页面打开一个无菜单栏的窗口之后。我们要做什么呢？就是让我们显示网站内容的窗口只显示内容，（是啊，网站不就是给别人浏览的吗？要浏览器和Windows的那么多功能做什么呀……）只要内容，其余一律去掉。我们就可以通过一段Javascript来完成。下面这段代码就是用来定义无任何窗口特征的代码：〈script〉 function open1(url){ newwin=(url,newwindow,fullscreen=1) (800,600) (/0-800,/0-600) } 〈/script〉其中，function open1(url)定义了超链接的写法。所以，我们在写链接的地址时，应该这样写：javascript:open1(url)。比如我要打开一个无窗口特征的新浪首页就应该在文字或图片的超链接里这样写：javascript:open1(‘’)。当然，括号内也支持相对路径。最后写出来的格式应该是：〈script〉 function open1(url){ newwin=(url,newwindow,fullscreen=1) (800,600) (/0-800,/0-600) } 〈/script〉〈body oncontextmenu==false onselectstart=return false〉〈td〉〈a href=javascript:open1(),()〉〈img border=0 src=pic/〉〈/a〉〈/td〉〈/body〉这样，我们就达到了打开无窗口边的网页了。并且，在这个网页中，会自动加入滚动条，这样，就不会像前面那样看不到下面的内容啦。最后我们要做的工作，就是把每一页，或者你认为重要的关键的页面进行加密，就OK啦。怎样对网页的源代码进行加密就不用我多说了吧？网上到处都有，可以用工具，也可以自己写一个htm文件来转换。加密软件，我推荐“Batch HTML Encryptor”，去google找吧。还有转换加密网页的代码如下：〈HTML〉〈HEAD〉〈TITLE〉网页加密解密〈/TITLE〉〈META http-equiv=Content-Type content=text/html; charset=gb2312〉〈META content=MSHTML 6.00.2600.0 name=GENERATOR〉〈!-- 大地软件工作室--〉〈LINK href=/ rel=stylesheet〉〈META content=Microsoft FrontPage 4.0 name=GENERATOR〉〈/HEAD〉〈BODY bgColor=#ffffff leftMargin=0 topMargin=0 onload=initStyleElements()〉〈DIV〉〈TABLE cellSpacing=0 cellPadding=0 width=760 align=center border=0〉〈!--DWLayoutTable--〉〈TBODY〉〈TR〉〈TD vAlign=top align=middle width=760 height=310〉〈DIV align=center〉〈H2〉〈SCRIPT language=JavaScript〉〈!-- var i=0; var ie=()?1:0; var ns=()?1:0; function initStyleElements() /* Styles for Buttons Init */ { var c = ; if (ie) { //=#DDDDDD; =#C0C0A8; =hand; =#C0C0A8; =hand; =#C0C0A8; =hand; =#C0C0A8; =hand; =#C0C0A8; =hand; } else return; } /* Buttons Enlightment of Compilation panel */ function LightOn(what) { if (ie) = #E0E0D0; else return; } function FocusOn(what) { if (ie) = #EBEBEB; else return; } function LightOut(what) { if (ie) = #C0C0A8; else return; } function FocusOff(what) { if (ie) = #DDDDDD; else return; } /* Buttons Enlightment of Compilation panel */ function generate() /* Generation of Compilation */ { code = ; if (code) { = wait!; setTimeout(compile(),1000); } else alert(First enter something to compile and then press CompileIt) } function compile() /* The Compilation */ { =; compilation=escape(code); =/〈script〉\n〈!--\(unescape(\+compilation+\));\n//--〉\n〈\/script〉; i++; if (i=1) alert(Page compiled 1 time!); else alert(Page compiled +i+ times!); } function selectCode() /* Selecting Compilation for Copying */ { if(〉0) { (); (); } else alert(Nothing for be selected!) } function preview() /* Preview for the Compilation */ { if(〉0) { pr=(,Preview,scrollbars=1,menubar=1,status=1,width=700, height=320,left=50,top=110); (); } else alert(Nothing for be previewed!) } function uncompile() /* Decompiling a Compilation */ { if (〉0) { source=unescape(); =+source+; } else alert(You need compiled code to uncompile it!) } // --〉〈/SCRIPT〉〈BR〉〈B〉〈FONT color=#〉网页HTML源代码加密解密器〈/FONT〉〈/B〉〈/H2〉〈/DIV〉〈TABLE cellSpacing=0 borderColorDark=# cellPadding=10 width=750 align=center borderColorLight=#ffffff border=2〉〈TBODY〉〈TR〉〈TD〉〈DIV align=center〉〈BR〉将你的源代码贴到编辑区域即可〈BR〉〈BR〉〈TABLE cellSpacing=0 cellPadding=0 border=0〉〈TBODY〉〈TR〉〈TD〉〈!-- Compilation Panel --〉〈FORM name=pad method=post align=center〉〈DIV align=center〉〈TEXTAREA name=text rows=11 cols=58〉〈/TEXTAREA〉〈BR〉〈BR〉〈BR〉〈INPUT onmouseover=LightOn(this) onclick=generate() onmouseout=LightOut(this) type=button value=加密 name=compileIt〉〈INPUT onmouseover=LightOn(this) onclick=selectCode() onmouseout=LightOut(this) type=button value=全选 name=select〉〈INPUT onmouseover=LightOn(this) onclick=preview() onmouseout=LightOut(this) type=button value=预览 name=view〉〈INPUT onmouseover=LightOn(this) onclick=uncompile() onmouseout=LightOut(this) type=button value=解密 name=retur〉〈INPUT onmouseover=LightOn(this) onmouseout=LightOut(this) type=reset value=清除 name=clear〉〈/DIV〉〈/FORM〉〈!-- Compilation Panel --〉〈/TD〉〈/TR〉〈/TBODY〉〈/TABLE〉〈/DIV〉〈/TD〉〈/TR〉〈/TBODY〉〈/TABLE〉〈DIV align=center〉〈BR〉〈/DIV〉〈DIV align=center〉〈/DIV〉〈/TD〉〈/TR〉〈/TBODY〉〈/TABLE〉〈/DIV〉〈DIV〉〈/DIV〉〈/BODY〉〈/HTML〉总结一下……按我的思路，屏蔽网页源代码主要分为以下几个步骤： 1．做一个网页跳板，弹出要保护的广告条状页面，并将自身关闭，以避免泄露需保护网页的地址。 2．由于上述条件屏蔽了广告条内网页的源代码，所以可以用这个网页作为欢迎页。 3．在欢迎页中，利用Javascript以超连接的形式来打开无窗口边的新窗口显示网站内容。 4．对每一个页面或者对重要的关键的页面进行源代码加密，为源代码加一把锁。（有些人说对源代码进行加密没有用，但是我觉得要使用另类点的加密方法就可以了，比如软件的加密方法就很普通。但是用我自己写的htm文件加密的源代码，一般软件是不能进行解密的。大家有兴趣的话可以试试。） 5．最后不得不提的就是windows网页临时文件夹了，那里面会把源代码纪录的。但是不用怕，加入一种代码，就可以使windows不下载网页的源代码，直接浏览。可以去找找。有些东西要注意的： 1．在文中所说的自动关闭网页的语句()有一个弊病。就是会在关闭窗口之前询问是否关闭窗口，如果选择否的话目的还是达不到。 2．以上一切都只对IE浏览器有效用，如果用别的浏览器来浏览，就有可能出现屏蔽不成功的现象。 3．关于网页源代码屏蔽，一直以来是可望而不可及的。我只是把思路写下来，具体实现，还是要靠大家自己研究的啦