LinuxWorld批斗Web 2.0安全 特别点名社交网络

SPI Dynamic资深安全工程师Matt Fisher在7日的LinuxWorld大会上，大肆批评Web 2.0的弱点。

他的言论虽然与同僚Billy Hoffman和Brian Sullivan上周在黑帽大会上的发言大同小异，仍提供若干线上犯罪的新范例。根据Mitre组织的统计，跨站指令攻击是最大的威胁，部分原因是这种攻击实在太容易执行。

Fisher特别点名社交网络网站，因为这些网站依赖使用者内容，允许使用者上传HTML程序代码（几乎是任何HTML程序代码）。在这种情况下，有心人大可在个人的页面置入恶意指令码，然后守株待兔，等待某人自动上钩。你或许纳闷这会造成什么损害？Fisher说当某人透过公司用网络打开这种恶意指令，有心人就能在公司内部的网络执行程序。

这种攻击或许较被动，Fisher还提出另一种情况：攻击者在顾客求助信息中植入恶意的JavaScript，该讯息会进入公司网络内。每次有客服技术人员打开这个讯息，他或她的计算机就会被感染，最后整个公司网络都可能遭殃。

不同于能用补丁程序解决的操作系统弱点，跨站指令攻击非一般性的类别，它们都是针对特定的网络应用软件。减轻这些攻击威胁的关键是限制终端使用者能或不能在网站上执行的动作。听似简单，但较新的Web 2.0网站通常不会检查一般、甚至较老旧的攻击手法。