網(wǎng)頁(yè)木馬風(fēng)行有其必定的優(yōu)勢(shì)。不過(guò)其也有不少的不足。在防治網(wǎng)頁(yè)木馬的時(shí)候，我們可以從另一個(gè)角度來(lái)審視網(wǎng)頁(yè)木馬，做到知己知彼、百戰(zhàn)不殆。如我們可以懂得網(wǎng)頁(yè)木馬的不足，從而采用一些手段，讓這些不足浮現(xiàn)出來(lái)，反過(guò)來(lái)占木馬的“漏洞”，從而實(shí)現(xiàn)防治木馬的目標(biāo)。

不足一：網(wǎng)頁(yè)木馬是姜太公釣魚(yú)愿者上鉤

網(wǎng)頁(yè)木馬是被動(dòng)式的工作，沒(méi)有固定的目標(biāo)。如果利用一句俗語(yǔ)來(lái)概括，就是姜太公釣魚(yú)愿者上鉤。網(wǎng)頁(yè)木馬缺乏針對(duì)性，往往不會(huì)主動(dòng)出擊。也就是說(shuō)，它只是等著別人來(lái)中，從不會(huì)主動(dòng)的選擇攻擊的對(duì)象。

從這個(gè)角度出發(fā)，或許能夠給我們安全人員不少的啟發(fā)。如從一個(gè)極端的角度講，企業(yè)內(nèi)部用戶一個(gè)都不訪問(wèn)網(wǎng)頁(yè)，那么就不會(huì)受到網(wǎng)頁(yè)木馬的困擾。當(dāng)然在實(shí)際工作中，這往往是做不到的。我們現(xiàn)在需要考慮的是，就是如何將這些可以訪問(wèn)網(wǎng)站的用戶的數(shù)量把持在最小的范疇之內(nèi)。如對(duì)于生產(chǎn)企業(yè)來(lái)說(shuō)，就可以將大部分用戶訪問(wèn)互聯(lián)網(wǎng)的權(quán)利進(jìn)行限制。在防火墻或者企業(yè)邊沿路由器上可以很輕易的做到這一點(diǎn)。此時(shí)網(wǎng)頁(yè)木馬也就無(wú)用武之地了。

如果不限制用戶這方面才能的話，另外一個(gè)比較好的方法就是及時(shí)的更新防火墻，如一般防火墻的供給商都會(huì)對(duì)互聯(lián)網(wǎng)上的網(wǎng)站進(jìn)行監(jiān)督。當(dāng)發(fā)明某個(gè)網(wǎng)站掛有木馬的話，都會(huì)及時(shí)的提示，或者將其參加到黑名單。此時(shí)當(dāng)用戶需要訪問(wèn)這些帶有木馬網(wǎng)站的時(shí)候，就會(huì)帶屏蔽掉。不過(guò)采用這種方法，還是可能會(huì)有漏網(wǎng)之魚(yú)。為此筆者的建議是，如果有可能的話，在最大程度內(nèi)限制用戶可以訪問(wèn)互聯(lián)網(wǎng)的數(shù)量。

不足二：木馬針對(duì)IE漏洞發(fā)起攻擊

現(xiàn)在九成以上的木馬，其都是針對(duì)IE漏洞來(lái)發(fā)起攻擊的。如果某個(gè)漏洞被及時(shí)的補(bǔ)上，就好像把壞了的鎖換了一把新的，網(wǎng)頁(yè)木馬就會(huì)失效。再如如果不用IE瀏覽器或者IE內(nèi)核瀏覽器，那么大部分網(wǎng)頁(yè)木馬也就無(wú)用武之地了。在企業(yè)中，可以請(qǐng)求用戶應(yīng)用Mozida等免費(fèi)的瀏覽器。這些瀏覽器沒(méi)有應(yīng)用IE內(nèi)核，為此中招的幾率也會(huì)少許多。

雖然沒(méi)有IE內(nèi)核的瀏覽器在功效上有所限制，如觀看電影、視頻等等，會(huì)比較麻煩。不過(guò)對(duì)于企業(yè)用戶來(lái)說(shuō)，這些并不是必備的功效，有些甚至是企業(yè)所禁用的。為此采用其他的瀏覽器，可能還能夠起到屏蔽的作用。不過(guò)這里還需要提示一點(diǎn)，有一些特別的利用，特別是政府推出的一些利用，可能必定需要應(yīng)用IE瀏覽器不可。如對(duì)于外貿(mào)企業(yè)來(lái)說(shuō)，會(huì)有外匯核銷系統(tǒng)；對(duì)于財(cái)務(wù)部門(mén)來(lái)說(shuō)，有發(fā)票認(rèn)證系統(tǒng)等等。這些系統(tǒng)都是基于B/S模式的利用。他們都請(qǐng)求采用IE版本的瀏覽器。不知道政府機(jī)構(gòu)是出于什么考慮。在這種情況下，安全人員可能要為某些用戶開(kāi)后門(mén)，容許某些特定的用戶應(yīng)用IE瀏覽器。不過(guò)對(duì)于這些用戶的瀏覽器要做好監(jiān)控。如發(fā)明有漏洞的話，要及時(shí)的補(bǔ)上。

不過(guò)可氣的是，有時(shí)候打上補(bǔ)丁的話，某些利用可能無(wú)法正常應(yīng)用。也就是說(shuō)，政府機(jī)構(gòu)推出的這些利用往往跟不上補(bǔ)丁升級(jí)的速度。為此這也就給安全人員提出了一個(gè)額外的挑釁。即在打補(bǔ)丁之前，需要做好充分的兼容性測(cè)試，或者對(duì)原有系統(tǒng)進(jìn)行完整備份。以防止在兼容性方面呈現(xiàn)不必要的麻煩。

不過(guò)總的來(lái)說(shuō)，這些用戶在企業(yè)中的數(shù)量還不是很多。為此在必要的情況下，可以考慮調(diào)換企業(yè)所應(yīng)用的瀏覽器。或者對(duì)IE瀏覽器的補(bǔ)丁采用強(qiáng)迫的、統(tǒng)一的更新策略。

不足三：網(wǎng)頁(yè)木馬具有時(shí)效性

網(wǎng)頁(yè)木馬往往具有比較強(qiáng)的時(shí)效性，跟消息一樣。為什么這么說(shuō)呢？因?yàn)榫W(wǎng)頁(yè)木只要一旦被發(fā)明，管理員就可以看到網(wǎng)頁(yè)木馬的源代碼。即使某些代碼可能比較狡猾，會(huì)采用必定的隱藏手段。但是一般只要有必定經(jīng)驗(yàn)的人，還是可以比較容易的辨認(rèn)。這意味著什么呢？對(duì)于網(wǎng)頁(yè)木馬來(lái)說(shuō)，只要源代碼公開(kāi)了，那么這個(gè)木馬就可以被很好的屏蔽掉。因?yàn)閺脑创�碼中可以看出這木馬采用了瀏覽器的哪一個(gè)漏洞。如此的話，對(duì)應(yīng)的補(bǔ)丁也會(huì)馬上出來(lái)。其次一些防木馬的工具，采用的也是腳本分析的機(jī)制。故只要腳本公開(kāi)，那么木馬就會(huì)沒(méi)有任何機(jī)密，腳本也會(huì)失效。故從這個(gè)角度講，沒(méi)有永遠(yuǎn)有效的木馬。