跨站脚本攻击(Cross Site Scripting
简称 XSS亦翻为跨网站WebSite
入侵字串)又有新攻击语法!此次触发恶意脚本不需要用到 script 标籤(譬如 <script>alert(1)</script>)也不用 javascript 协定(譬如 javascript:alert(1))而是 8 月 26 日所揭露<isindex type=image src=http://www.hack58.net/Article/html/3/7/2008/1 src="/Article/UploadPic/2008-9/20089111422470.jpg">
稍加调整甚至不需要定义 src 属性也可成功:
<isindex type=image src="/uploadfile/2008/9/8-du20175_20080911120816_1.jpg">
跨站脚本攻击(XSS)不亏是名列最新 OWASP Top 2007(2007年 OWASP 十大 Web 资安漏洞)
榜首「简单好用、防不胜防」!简单来说
跨站脚本攻击(XSS)基本精神就是骇客在 HTML 文件中安插网页脚本语言(譬如 JavaScript 或 VBScript)让受骇方浏览器在浏览网页时进而去执行
这延伸两个讨论议题:1. 为何骇客能够在 HTML 文件中安插这些脚本?
在 Web 2.0
时代大部分网页或多或少都需要产生动态内容都需要和使用者互动
旦使用者所提供资料(譬如恶意脚本字串)有机会成为动态输出 HTML 内容部份时这样恶意脚本就被成功地安插进原本合法无恶意 HTML 文件了这也是为何许多客户最后选择从源码检测著手揪出这些进入点和输出点治本地解决跨站脚本攻击(XSS)2. 为何浏览器会去执行这些脚本?
浏览器只是如实地遵循 W3C (World Wide Web Consortium) 所制定
HTML 标准(目前最新版本为 HTML 4.01)正确地支援各语法标籤应表现样式和行为因此当应该执行脚本时就会执行这些脚本儘管他们可能是恶意包括偷取 Cookie、置换网页、转址、攻击其他网站WebSite等作者 Dr. Benson Wu 为 阿码科技 产品经理
篇文章: 基于时间差SQL盲注窍门技巧篇文章: 破别人ASP木马密码思路方法
最新评论