科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道警惕新危险 安全风险浪尖上的跨站点脚本

警惕新危险 安全风险浪尖上的跨站点脚本

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

户端脚本语言通常都会包含同源策略,该策略只有在网络对象与网页来自同一域并且使用相同协议时,才允许它们之间的交互。XSS漏洞能使恶意站点钻这些策略的空子,来秘密地访问其他对象或者浏览器窗口的敏感数据。

作者:中国IT实验室 2007年9月19日

关键字: 站点脚本 SQL注入 SQL语句 安全风险 XSS PHP

  • 评论
  • 分享微博
  • 分享邮件

  网管们需要注意了:根据来自Mitre的新数据显示,跨站点的脚本漏洞现在比起诸如Buffer overflows这样臭名昭著的bug来说是更有吸引力的目标。Mitre是美国政府资助的研究机构。

  Buffer overflows在很长一段时间里都曾经是恶意软件攻击的最普遍类型。Inter和AMD甚至在各自的芯片产品中嵌入一种叫NX(不执行)或者XD(无法执行)的技术来以硬件方式防止这种攻击。

  但是根据Mitre的发现,现在情况正在渐渐改变了。Buffer overflows影响的是用诸如C语言编写的可执行文件。而跨站点脚本(XSS)漏洞变得越来越受欢迎了。这表示攻击者正在把目标转向专门用在网络应用中的编程语言,比如JAVA,.NET和PHP等等。

  客户端脚本语言通常都会包含同源策略,该策略只有在网络对象与网页来自同一域并且使用相同协议时,才允许它们之间的交互。XSS漏洞能使恶意站点钻这些策略的空子,来秘密地访问其他对象或者浏览器窗口的敏感数据。

  第二种普遍的攻击形式是SQL注入。该攻击使攻击者能在数据库中执行恶意SQL语句。第三种普遍的攻击方式是PHP“内含”的漏洞,它让攻击者能够通过把任意脚本包含在已存在的脚本中的方式,在服务器上执行该脚本。

  今年到目前为止,Mitre记录了超过20000的被报道的漏洞。这些漏洞中21.5%是XSS,14%是SQL注入,9.5%是PHP“内含”。Buffer overflows排第四,占7.9%。

  根据业内期刊Dark Reading的报道,Mitre在星期三纽约的数码安全执行会议中首次讨论了这些发现。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章