扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
SPI Dynamic资深安全工程师Matt Fisher在7日的LinuxWorld大会上,大肆批评Web 2.0的弱点。
他的言论虽然与同僚Billy Hoffman和Brian Sullivan上周在黑帽大会上的发言大同小异,仍提供若干线上犯罪的新范例。根据Mitre组织的统计,跨站指令攻击是最大的威胁,部分原因是这种攻击实在太容易执行。
Fisher特别点名社交网络网站,因为这些网站依赖使用者内容,允许使用者上传HTML程序代码(几乎是任何HTML程序代码)。在这种情况下,有心人大可在个人的页面置入恶意指令码,然后守株待兔,等待某人自动上钩。你或许纳闷这会造成什么损害?Fisher说当某人透过公司用网络打开这种恶意指令,有心人就能在公司内部的网络执行程序。
这种攻击或许较被动,Fisher还提出另一种情况:攻击者在顾客求助信息中植入恶意的JavaScript,该讯息会进入公司网络内。每次有客服技术人员打开这个讯息,他或她的计算机就会被感染,最后整个公司网络都可能遭殃。
不同于能用补丁程序解决的操作系统弱点,跨站指令攻击非一般性的类别,它们都是针对特定的网络应用软件。减轻这些攻击威胁的关键是限制终端使用者能或不能在网站上执行的动作。听似简单,但较新的Web 2.0网站通常不会检查一般、甚至较老旧的攻击手法。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者