网络安全 频道

防范跨站脚本攻击:老话还得重提为好?

  今年5月,Web安全咨询师George Deglin发现了一段成功实施了攻击的跨站脚本(XSS)代码,这段代码利用了Facebook颇有争议的即时个性化功能。该代码在Facebook所选中的测试即时个性化的3个网站之一——Yelp上运行。运行该代码段,Deglin不仅获得了与Yelp共享的Facebook上的个人档案信息,而且还截获了发送档案给Facebook好友的邮箱地址——这无论对于市场销售人员还是垃圾邮件发送者来说都是一座潜在的金矿。

  就在Deglin发现的XSS漏洞被修补上之后没多久,另一个XSS漏洞又在Yelp上出现,搞得Facebook只好将该网站的即时个性化程序暂时挂起来。

  XSS攻击并不新鲜,但是睡着社交媒体的兴起,又给了此类攻击一片新的用武之地。

  XSS简单入门

  最常见的XSS攻击方法就是利用邮件:犯罪分子在一个普通的URL网址中添加一些特殊字符,例如添加几个外文字符。这些字符会适时地告知运行事先制作好的脚本的Web服务器,举例来说,一个攻击者给你的网上银行的网址中添加了这样一个脚本,然后发邮件给你。假如你相信这是来自你的网上银行的合法邮件,然后点击了邮件提供的链接地址,那么你的浏览器就会给那台Web服务器发送该脚本,这台服务器上所运行的恶意代码就会截获你的浏览器cookies和你的银行登录信息,转发给攻击者,后者便可登录进你的网上银行账号。

  另一类XSS攻击会将恶意代码存放在一台Web服务器上。攻击者登录比如说一家电子商务网站,然后发送一条含有XSS跨站脚本的消息。数天之后,如果你登录了这家电子商务网站,阅读了这条不良消息,就会和前一类一样,该脚本盗取你的cookies和登录信息,并将其转发给犯罪分子,而他便可以冒充你了。

  第三类XSS攻击是针对Web浏览器的。在这种情形中,攻击者会在你所访问的网站上放置一个带毒的Flash文件。当你的浏览器下载这段Flash视频的时候,该文件便会触发一个跨站脚本,攻击者便可掌控你的浏览器所浏览的页面元素。

0
相关文章