警惕新危险 安全风险浪尖上的跨站点脚本

2008-04-09 04:36:12来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  网管们需要注意了:根据来自Mitre的新数据显示,跨站点的脚本漏洞现在比起诸如Buffer overflows这样臭名昭著的bug来说是更有吸引力的目标。Mitre是美国政府资助的研究机构。

  Buffer overflows在很长一段时间里都曾经是恶意软件攻击的最普遍类型。Inter和AMD甚至在各自的芯片产品中嵌入一种叫NX(不执行)或者XD(无法执行)的技术来以硬件方式防止这种攻击。

  但是根据Mitre的发现,现在情况正在渐渐改变了。Buffer overflows影响的是用诸如C语言编写的可执行文件。而跨站点脚本(XSS)漏洞变得越来越受欢迎了。这表示攻击者正在把目标转向专门用在网络应用中的编程语言,比如JAVA,.NET和PHP等等。

  客户端脚本语言通常都会包含同源策略,该策略只有在网络对象与网页来自同一域并且使用相同协议时,才允许它们之间的交互。XSS漏洞能使恶意站点钻这些策略的空子,来秘密地访问其他对象或者浏览器窗口的敏感数据。

  第二种普遍的攻击形式是SQL注入。该攻击使攻击者能在数据库中执行恶意SQL语句。第三种普遍的攻击方式是PHP“内含”的漏洞,它让攻击者能够通过把任意脚本包含在已存在的脚本中的方式,在服务器上执行该脚本。

  今年到目前为止,Mitre记录了超过20000的被报道的漏洞。这些漏洞中21.5%是XSS,14%是SQL注入,9.5%是PHP“内含”。Buffer overflows排第四,占7.9%。

  根据业内期刊Dark Reading的报道,Mitre在星期三纽约的数码安全执行会议中首次讨论了这些发现。

 原文作者:Matthew Broersma

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:谈漏洞修补策略

下一篇:微软自动发布平台出现故障十月安全补丁包遇尴尬