近日，一款利用IE7漏洞进行传播的脚本木马在网上迅速传播，该木马利用搜索引擎检索站点漏洞，并进行自动传播。几天内，数万站点遭受感染，其中hongxiu.com、msn中国、东方财经网等都被入侵。

　　发现恶意软件!

　　某日早上，某网站维护人员小任像往常一样打开了网站首页，随手点击了一个链接，想验证一下网站是否可以正常访问，没想到居然触发了防病毒的软件的报警：“发现恶意软件”。心细的小任在一查之下大吃了一惊：首页的几乎所有链接都被加上了一个奇怪的网址“http://c.nuclear3.com/css/c.js”，而这个js脚本，就是触发防病毒软件报警的元凶。

　　无奈之下，小任想到了自己单位的网络安全设备提供商启明星辰公司，并立刻联系上该公司驻当地人员，同时一并提供的还有网站的日志文件。

　　攻击者的手法

　　很快，小任就得到了启明星辰工程师的反馈信息，在网站的/down.asp页面下，存在一个反射式的XSS漏洞，骇客就是利用这个漏洞，通过cookie 注入的方式，将恶意脚本“ ”注入到每一个网站链接中，以达到危害用户的目的。

　　v 小知识：什么叫反射式XSS?

　　Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。

　　在这个例子里，骇客将恶意脚本嵌入URL，网站访问者一旦点击这个链接，浏览器将认为恶意代码是来自网站，从而“放心”的执行。

　　v 小知识：cookie注入

　　Cookie注入是SQL注入攻击的一种表现形式，是系统直接使用"request("name")"获取客户提交的数据,并对客户提交的变量没有过滤,而且在防注入程序中没有限制Request.cookie所导致的。

　　一个典型的例子就是javascript:alert(document.cookie="id="+escape(XX and "attack string")。