扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
跨站脚本攻击(Cross Site Scripting,简称 XSS,亦翻为跨网站的入侵字串)又有新的攻击语法!此次触发恶意脚本不需要用到 script 标籤(譬如 <script>alert(1)</script>),也不用 javascript 协定(譬如 javascript:alert(1)),而是 8 月 26 日所揭露的
<isindex type=image src=http://www.hack58.net/Article/html/3/7/2008/1 src="/Article/UploadPic/2008-9/20089111422470.jpg">
稍加调整甚至不需要定义 src 属性也可成功:
<isindex type=image src="/uploadfile/2008/9/8-du20175_20080911120816_1.jpg">
跨站脚本攻击(XSS)不亏是名列最新 OWASP Top 2007(2007年 OWASP 十大 Web 资安漏洞)的榜首,「简单好用、防不胜防」!
简单来说,跨站脚本攻击(XSS)的基本精神就是骇客在 HTML 文件中安插网页脚本语言(譬如 JavaScript 或 VBScript),让受骇方的浏览器在浏览网页时进而去执行。这延伸两个讨论议题:
1. 为何骇客能够在 HTML 文件中安插这些脚本?
在 Web 2.0 的时代,大部分的网页或多或少都需要产生动态内容,都需要与使用者互动,一旦使用者所提供的资料(譬如恶意脚本字串)有机会成为动态输出的 HTML 内容的一部份时,这样恶意脚本就被成功地安插进原本合法无恶意的 HTML 文件了。这也是为何许多客户最后选择从源码检测著手,揪出这些进入点与输出点,治本地解决跨站脚本攻击(XSS)。
2. 为何浏览器会去执行这些脚本?
浏览器只是如实地遵循 W3C (World Wide Web Consortium) 所制定的 HTML 标准(目前最新版本为 HTML 4.01),正确地支援各语法标籤应表现的样式与行为,因此当应该执行脚本时,就会执行这些脚本,儘管他们可能是恶意的,包括偷取 Cookie、置换网页、转址、攻击其他网站等。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者