科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道LinuxWorld批斗Web 2.0安全 特别点名社交网络

LinuxWorld批斗Web 2.0安全 特别点名社交网络

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

SPI Dynamic资深安全工程师Matt Fisher在7日的LinuxWorld大会上,大肆批评Web 2.0的弱点。不同于能用补丁程序解决的操作系统弱点,跨站指令攻击非一般性的类别,它们都是针对特定的网络应用软件。

作者:cnetnews 来源:www.cnetnews.com.cn 2007年8月9日

关键字: 社交网络 web 指令 程序代码 跨站 Fisher 科技资讯网 批斗 讯息 公司网络

  • 评论
  • 分享微博
  • 分享邮件

CNET科技资讯网8月8日国际报道 SPI Dynamic资深安全工程师Matt Fisher在7日的LinuxWorld大会上,大肆批评Web 2.0的弱点。

他的言论虽然与同僚Billy Hoffman和Brian Sullivan上周在黑帽大会上的发言大同小异,仍提供若干线上犯罪的新范例。根据Mitre组织的统计,跨站指令攻击是最大的威胁,部分原因是这种攻击实在太容易执行。

Fisher特别点名社交网络网站,因为这些网站依赖使用者内容,允许使用者上传HTML程序代码(几乎是任何HTML程序代码)。在这种情况下,有心人大可在个人的页面置入恶意指令码,然后守株待兔,等待某人自动上钩。你或许纳闷这会造成什么损害?Fisher说当某人透过公司用网络打开这种恶意指令,有心人就能在公司内部的网络执行程序。

这种攻击或许较被动,Fisher还提出另一种情况:攻击者在顾客求助信息中植入恶意的JavaScript,该讯息会进入公司网络内。每次有客服技术人员打开这个讯息,他或她的计算机就会被感染,最后整个公司网络都可能遭殃。

不同于能用补丁程序解决的操作系统弱点,跨站指令攻击非一般性的类别,它们都是针对特定的网络应用软件。减轻这些攻击威胁的关键是限制终端使用者能或不能在网站上执行的动作。听似简单,但较新的Web 2.0网站通常不会检查一般、甚至较老旧的攻击手法。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章