警惕新危险 安全风险浪尖上的跨站点脚本
2008-04-09 04:36:12来源:互联网 阅读 ()
网管们需要注意了:根据来自Mitre的新数据显示,跨站点的脚本漏洞现在比起诸如Buffer overflows这样臭名昭著的bug来说是更有吸引力的目标。Mitre是美国政府资助的研究机构。
Buffer overflows在很长一段时间里都曾经是恶意软件攻击的最普遍类型。Inter和AMD甚至在各自的芯片产品中嵌入一种叫NX(不执行)或者XD(无法执行)的技术来以硬件方式防止这种攻击。
但是根据Mitre的发现,现在情况正在渐渐改变了。Buffer overflows影响的是用诸如C语言编写的可执行文件。而跨站点脚本(XSS)漏洞变得越来越受欢迎了。这表示攻击者正在把目标转向专门用在网络应用中的编程语言,比如JAVA,.NET和PHP等等。
客户端脚本语言通常都会包含同源策略,该策略只有在网络对象与网页来自同一域并且使用相同协议时,才允许它们之间的交互。XSS漏洞能使恶意站点钻这些策略的空子,来秘密地访问其他对象或者浏览器窗口的敏感数据。
第二种普遍的攻击形式是SQL注入。该攻击使攻击者能在数据库中执行恶意SQL语句。第三种普遍的攻击方式是PHP“内含”的漏洞,它让攻击者能够通过把任意脚本包含在已存在的脚本中的方式,在服务器上执行该脚本。
今年到目前为止,Mitre记录了超过20000的被报道的漏洞。这些漏洞中21.5%是XSS,14%是SQL注入,9.5%是PHP“内含”。Buffer overflows排第四,占7.9%。
根据业内期刊Dark Reading的报道,Mitre在星期三纽约的数码安全执行会议中首次讨论了这些发现。
原文作者:Matthew Broersma
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:谈漏洞修补策略
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash