跨站ASP Script攻击

• 　　每当我们想到黑客的时候，黑客往往是这样一幅画像：一个孤独的人，悄悄进入别人的服务器中，进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页，甚者会窃取客户的信用卡号和密码。另外，黑客还会攻击访问我们网站的客户。与此同时，我们的服务器也成了他的帮凶。微软称这种攻击为“跨站script”攻击。而这种攻击大多数都发生在网站动态产生网页的时侯，但黑客的目标并不是你的网站，而是浏览网站的客户。
  
  　　跨站script攻击的说明
  
  　　在一本名为＜＜ADVISORY CA--2000-02＞＞的杂志中，CERT警告大家：如果服务器对客户的输入不进行有效验证，黑客就会输入一些恶意的HTML代码，当这些HTML代码输入是用于SCRIPT程序，他们就能利用它来进行破坏，如插入一些令人厌恶的图片或声音等，同时，也能干扰了客户正确浏览网页。
  
  　　我们知道，有些朋友曾经被诱导到一些可疑的免费网站，他们得到的仅仅是10到20个小的窗口，这些窗口常常伴随着由JAVA 或 JAVASCRIPT生成的失效安钮，这被称为鼠标陷阱。关闭这些窗口是徒劳的，每当我们关闭一个窗口，又会有10几个窗口弹出。这种情况常常发生在管理员没在的时侯发生。鼠标事件是黑客利用跨站SCRIPT方法攻客户的典型范例。
  
  　　恶意的标签和SCRIPT不单纯的恶作剧，他们甚至可以窃取资料和捣毁系统。一个聪明的甚至是不够聪明的黑客都能够使用SCRIPT干扰或者改变服务器数据的输入。利用SCRIPT代码也能攻击客户系统，让你的硬盘尽损。而且你要知道，在你一边使用服务器的时候，黑客的SCRIPT也正在你服务器里安全的地方运行着的呀！如果客户对你的服务器非常信认，同样他们也会信任那些恶意的SCRIPT代码。甚至这个代码是以〈SCRIPT〉或者〈OBJECT〉的形式来自黑客的服务器。
  
  　　即使使用了防火墙（SSL）也不能防止跨站SCRIPT的攻击。那是因为如果生成恶意SCRIPT代码的设备也使用了SSL，我们服务器的SSL是不能辨别出这些代码来的。我们难道就这样把客户曾经那么信任的网站拱手让给黑客吗？而且有这种破坏的存在，会让你网站名誉尽损的。
  
  　　一、跨站SCRIPT攻击示例：
  
  　　根据CERT的资料，动态输入大致有这几种形式：URL参数，表格元素，COOKISE以及数据请求。让我们来分析一下，这个只有两个页面的网站，网站名为：MYNICESITE.COM。第一页使用一张表格或COOKIE来获取用户名：
  
  　　＜%@ Language=VBScript %＞
  
  　　＜% If Request.Cookies("userName") ＜＞ "" Then
  
  　　Dim strRedirectUrl
  
  　　strRedirectUrl = "page2.asp?userName="
  
  　　strRedirectUrl = strRedirectUrl & Response.Cookies("userName")
  
  　　Response.Redirect(strRedirectUrl)
  
  　　Else %＞
  
  　　＜HTML＞
  
  　　＜HEAD＞
  
  　　＜TITLE＞MyNiceSite.com Home Page＜/TITLE＞
  
  　　＜/HEAD＞
  
  　　＜BODY＞
  
  　　＜H2＞MyNiceSite.com＜/H2＞
  
  　　＜FORM method="post" action="page2.asp"＞
  
  　　Enter your MyNiceSite.com username:
  
  　　＜INPUT type="text" name="userName"＞
  
  　　＜INPUT type="submit" name="submit" value="submit"＞
  
  　　＜/FORM＞
  
  　　＜/BODY＞
  
• [1] [2] [3] [4] [5] [6] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 跨站ASP Script攻击 相关文章：
• ·黑客攻击与防守
• ·什么是SQL注入法攻击
• ·ARP攻击原理及解决方法
• ·全程攻击无线网络WEP加密（二）
• ·IIS攻击与日志
• ·sqlexp攻击．怎么防止？
• ·攻击新方法：利用PStore接口获取帐号信息
• ·真三国无双3 修改吕布攻击力 - 真三国无双4攻略秘籍 - 真三国无双4
• ·x-scan扫描中---Nessus攻击脚本简介
• ·深入剖析恶意攻击性网页-注册表全攻略
• 跨站ASP Script攻击 相关软件
• ·《悍马攻击》游戏存档
• ·城堡攻击2-快手战略
• ·空袭Ⅱ:空中攻击机二代 (Airstrike II: Gulf Thunder) V2.58
• ·凤凰攻击机
• ·团队攻击：西线战斗(Squad Assault: West Front) 试玩版
• ·绝地攻击机(Desperate Space)
• ·强袭攻击
• ·金盾拒绝服务攻击状态监视器
• ·极度攻击
• ·城堡攻击

上一篇:用3DS MAX打造星球大战激光剑

下一篇:短信采购、在线定购实现高效率销售

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐