警惕新危险 安全风险浪尖上的跨站点脚本

　　网管们需要注意了：根据来自Mitre的新数据显示，跨站点的脚本漏洞现在比起诸如Buffer overflows这样臭名昭著的bug来说是更有吸引力的目标。Mitre是美国政府资助的研究机构。

　　Buffer overflows在很长一段时间里都曾经是恶意软件攻击的最普遍类型。Inter和AMD甚至在各自的芯片产品中嵌入一种叫NX（不执行）或者XD（无法执行）的技术来以硬件方式防止这种攻击。

　　但是根据Mitre的发现，现在情况正在渐渐改变了。Buffer overflows影响的是用诸如C语言编写的可执行文件。而跨站点脚本（XSS）漏洞变得越来越受欢迎了。这表示攻击者正在把目标转向专门用在网络应用中的编程语言，比如JAVA，.NET和PHP等等。

　　客户端脚本语言通常都会包含同源策略，该策略只有在网络对象与网页来自同一域并且使用相同协议时，才允许它们之间的交互。XSS漏洞能使恶意站点钻这些策略的空子，来秘密地访问其他对象或者浏览器窗口的敏感数据。

　　第二种普遍的攻击形式是SQL注入。该攻击使攻击者能在数据库中执行恶意SQL语句。第三种普遍的攻击方式是PHP“内含”的漏洞，它让攻击者能够通过把任意脚本包含在已存在的脚本中的方式，在服务器上执行该脚本。

　　今年到目前为止，Mitre记录了超过20000的被报道的漏洞。这些漏洞中21.5％是XSS，14％是SQL注入，9.5％是PHP“内含”。Buffer overflows排第四，占7.9％。

　　根据业内期刊Dark Reading的报道，Mitre在星期三纽约的数码安全执行会议中首次讨论了这些发现。