网络安全日丨“望闻问切”判断网站是否安全

怎样判断一个网站是否安全

2014年思科年度安全报告披露，在对全球最大的跨国公司抽样选出的30家企业中，都曾有人通过其网络访问过存有恶意软件的网站，96%的网络曾与受黑客劫持的服务器通信，漏洞和威胁总数自2000年以来达到顶峰。

要安全地访问一个网站，不妨采用中医看病“望、闻、问、切”4个步骤进行分析。其中的“望”是通过一定的技巧看对方网址的核心部分，以判断网站是否安全；如果“望”不能解决问题则通过“闻”，即通过第三方特别是搜索引擎来识别；下一步，就是打开网站后，通过技巧识别其中是否有“陷阱”，投石“问”路；最后一步，让杀毒软件和防火墙“切”脉把关。

望：判断网页地址是否安全

通过浏览器访问一个WWW服务器时，对网页的访问采用的是URL（Uniform Resource Locator，统一资源定位）方式，URL的完整格式是：

http://主机地址[:端口][/[路径/[文件名[?参数1=参数值1&参数2=参数值2]]]]

“http”表示超文本传输协议，表示这是加密的网址。而其他的则表示其他服务，就不一定是网页了。例如“ftp”表示文件传输协议，“file”表示本地文件。

“主机地址”表示要访问的Web服务器的地址，该地址可以是IP地址，也可以是域名地址，甚至在局域网中可以使用NetBIOS名称（可以简单地等价于主机名称）。一般而言，直接使用IP地址比使用域名在速度上会快一些。这是唯一的必填项。

“端口”表示对方服务器提供Web服务的端口，一般是80端口，并且如果是80端口，则可以不写。近几年，也有一些服务器喜欢使用8080作为端口。

“路径”表示要打开的网页的路径，如果该路径以“/”结尾，则表示读取该路径上Web服务器默认指定的文件列表中的文件。比如一些空间服务端习惯让用户使用index.htm或index.html作为默认文件，而更多的主页习惯用default.asp、default.htm等文件作为默认页面。

“文件名”表示要读取的文件名称。如果没有写文件名，则使用上述默认的文件名。

“参数列表”表示程序所带的参数列表，如果有多个参数，则各参数之间用半角“&”隔开。整个参数列表与前面的文件名要用半角问号隔开。

上述地址可能长度不一，那么如何识别这个网址是否安全呢？

其实，一个网址无论有多长多复杂，其主要因素是其主机地址，例如www.tongji.edu.cn和www.baidu.com。主机地址一般采用的是“功能.组织名.行业.国家”的格式。

“功能”部分表示这台主机所提供的服务，“www”表示网页服务，“ftp”表示文件下载服务等。

“组织名”是企业名、单位名称。如tongji、baidu。需要特别注意的是“组织名”，其仍可能采用由“点”分隔的几个子部分。比如一个组织名可以是“china.baidu”，也可以是“baidu.china”，但前一个表示baidu组织下的china分支；后一个表示china组织的baidu分支。

在“行业”部分，“com”表示营利性商业机构，“net”表示网络服务机构，“org”表示非营利性组织，“gov”表示政府机构，“edu”表示教育机构，“name”表示个人网站。

“国家”部分主要是国家和地区的简称，中国大陆简称“cn”，中国台湾简称“tw”，美国简称“us”。值得一提的是，当“国家”是美国时，可以省略，这也是有很多主机地址没有“国家”部分的主要原因。

例如

“www.tongji.edu.cn”表示同济大学的网页服务；“www.abc.cn”表示中国注册的abc网站的网页服务（个别中国网站也会省略“行业”，只用“cn”作为顶级域名）；“bbs7.liruimin.name”表示在美国注册的liruimin网站上自己定义的bbs7服务；www.baidu.com表示美国注册的商业网站中百度的网页服务。

各公司按行业申请本是常理，例如作为企业的百度公司，注册的域名是baidu.com。但如果有人注册了相似的域名，如baidu.com.cn、baidu.cn、baidu.name或baidu.net，则往往可以“鱼目混珠”，将来也可以合法地使用这一“山寨”域名进行宣传。为了避免这种恶意抢占注册域名现象的发生，一些大公司通常会将所有相关的其他同名或近似域名同时注册掉。这意味着你通过www.baidu.com.cn和www.baidu.cn同样能正常访问到百度官方网站www.baidu.com。

至此，我们可以得出一条重要结论：一个网址是否安全，取决于网址的主机地址中“组织名”部分是否安全。

好了，既然主机地址是决定一个网址是否安全的关键因素，那么看看下面两个网址有什么问题？

http://www.qq.2434.com:9999

http://zhongjiang.taobao1.cc/help.asp?id=142827&n=33433

在判断上面的两个网址时，首先要裁掉不相关的内容，最后只剩下“www.qq.2434.com”和“zhongjiang.taobao1.cc”两个主机地址。这两个地址很显然都有问题：“www.qq.2434.com”显然不是腾讯公司的QQ网址，这个网址应该是“2434”公司的QQ分支，若属于腾讯公司，则必然以“qq.com”结尾；“zhongjiang.taobao1.cc”应该属于“taobao1”公司，而不是“taobao”公司。所以上述两个网址地址肯定不是QQ和淘宝的网址，通常用这样网址的目的只是想骗过那些粗心的用户。

闻：通过第三方软件识别网站

其实，一个人能记住的网站很有限，在遇到没有印象或没有见过的网站时，仅通过网站的URL很难判断其是否有问题，这时，就需要另一种办法了。

首先，我们假设你在邮件或QQ中收到的这个网址URL是一个恶意网站，那么你很有可能不是唯一要上当的人，那么已经上当的人或某些网站肯定做出了一些相应的动作。事实上也的确如此，百度、360安全卫士等网站或软件也会将有问题的网站列入黑名单，如图所示。其次，如果我们的假设是错的，那么就可以进行下一个步骤“问”了。

不过，有一点需要说明，即使是那些被列入到黑名单的网站，也不见得都是恶意网站。也可能是由于这个网站被黑客或病毒侵扰而不自知，虽然这时该网站具有危险性，但其自身也是受害者，不过既然有病毒，则至少表示目前不适合访问。

QQ上对不安全信息的实时监测实例

360安全卫士标识的“危险网站”实例

360浏览器标识的“危险网站”实例

问：网页是否安全

如果第三方软件也帮不上忙，那么剩下的就得按自己的经验来判断了。我们有时会对下载界面上有两套“本地下载”（或“立即下载”）和“迅雷下载”而感到疑惑，如图。其实，我们这次比较幸运，因为设计者把这两套设计放到了同一个页面的同一个可视范围内，如果不在同一个可视范围，则即使是在同一个页面，对于那些习惯看到“下载”字样就单击的网友来说，就更有欺骗性。

好了，既然发现了疑点，下面不妨试探一下。先把鼠标光标放在各个按钮上，当把鼠标光标放在“立即下载”及“迅雷下载”按钮上时，我们会惊讶地发现出现了一个弹出式工具栏，上面显示了“保存、打印、邮件发送图片、图片收藏夹”图标，该工具栏预示着这是一个图片链接。

其实，将按钮设计成一张图片，这在网页中是很常见的，但若即使将鼠标放到“立即下载”和“迅雷下载”两个图片之外的区域，该弹出式工具栏仍然存在，则足以说明包括“立即下载”和“迅雷下载”两个图片在内的区域是一整张图片。为了验证这个想法，在网页上“立即下载”和“迅雷下载”两个按钮的附近区域用鼠标右键单击鼠标，在弹出的菜单中有“图片另存为”的菜单项，这足以说明，整个该区域都是一个假象，其中的内容并不是下载的内容，而是一个有其他目的的区域。

上面的内容详细解析了对一个假链接从怀疑到发现再到验证的全过程，虽然有效，但似乎有点复杂。那么我们可以把上述步骤简化一下，即不管是什么网站，在网页打开以后，先在网页上按一个“Ctrl+A”组合键，或者单击浏览器的“编辑/全选”选项，没错，就是全选，全选的目的是什么呢？就是为了发现嵌在网页中的图片。同样以上面的例子为例，在按组合键“Ctrl+A”时我们不难发现，凡是字的部分，背景都会随着全选而反转；凡是图的部分，都会保留原有的区域范围，只是出现了“弱化”的效果。

我们惊讶地发现，除了右边的图是假下载链接，下面的下载链接也是假链接。拖动滚动条，继续向下，看到在同一页面的另一个区域中，又出现了一个与下载有关的“点击进入下载地址列表”的按钮。

这是真的下载链接吗？这类链接的识别办法就是用鼠标右键单击该链接，在弹出的菜单中选择“目标另存为”，然后看看下载的是什么。这时，系统弹出“另存为”对话框，显示这是一个exe文件，所以毫无疑问，该链接是一个假链接，其危害性自然不必多说。

切：让杀毒软件帮我们把关

如果要下载的内容本身就是某个exe文件，比如某个游戏、程序、自解压的压缩包，那该怎么办？这时，几乎只能靠杀毒软件帮忙了。

操作方法就是先不要运行下载好的程序，而是用杀毒软件对该文件进行查杀，以确保没有问题时再考虑是否运行。