二、 用E-Mail进行跨站Script攻击

　　跨站script攻击用在列表服务器，usenet服务器和邮件服务器来得特别容易。下面还是以MyNiceSite.com网站为例进行说明。由于你经常浏览这个网站，它的内容也的确让你爱不爱不释手，因此在不知不觉中你就把浏览器的改成了总是信任这个动态网站内容的设置。

　　MyNiceSite.com网站总是通过出售征订它们Email信件的邮箱地址来获得收入，这的确是一种不太好的办法。于是我买了它的一份邮箱地址。并发了大量的邮件给你们。在信中我告诉你们尽快访问这个网 站，并检查你们帐户使用的最新情况。为了让你们感到方便，我在这信中也作了链接。我在这链接URL中的username参数中舔加了script代码。有些客户在不知不觉中就点击了这个链接，也就是说上了我的当(如图)，同时我也从中得到了好处：

　　它是这样工作的，当你点击这个链接的时后，在链接里的script代码就会引导你所用浏览器去下载我的JavaScript程序并执行它。我的Script检查到你使用的是IE浏览器后，就着手下载ActiceX控件 particularlyNasty.dll。因为之前你已经把这个网站的内容认为总是安全的，这样，我的script代码和Active 控件就能在你机器上自由自在的运行了。


三、 Activex攻击说明

　　在讨论ActiveX时，CERT和微软都没提到跨站script方法所带来的的危险。W3C在<<安全常见问题解答>>中对ActiveX的安全问题作了比较详尽的说明。Java applet对系统的控制受到严格限制。SUN开发它时就规定，只有那些对系统的安全不构成威胁的操作才被允许运行。

　　在另一方面，ActiveX对系统的操作就没有严格地被限制。如果一但被下载，就可以象安装的可执行程序一样做他们想干的事情。针对这一特点IE浏览器也作了某些限制，如对于那些不安全的站点，在它的默认设置中就会不允许你进行下载或者会给你警告的提示。正在基于ActiveX进行开发的公司，如VeriSign公司，它们对ActiveX控件都给编了号。当你在下载控件的时后，IE浏览器会给你警告并显示它的可信籁程度。由用户决定是否相信这个控件。这样一来系统的安全性就增加了。

　　但是，对于那些没有多少经验的用户来说，他们往往不自觉地对原来的设置进行了修改，让这些控件在没有任何提示的情况下就下载了。另外，对一个新手来说，即使在有提示的情况下也会不加思索地下载那些没作任何标记的控件。在我们所举的例子中，由于你对该站点的信任，改了浏览器的设置，这样，ActiveX控件在不经过任何提示的情况下就下载，并在你的机器上不知不觉地开始运行。


四、16进制编码的ActiveX Script 攻击
　　要把用心不良的标签和script区分出来是一件非常困难的事。Script还可以16进制的形式把自己藏起来。让我们看看下面这个E-mail范例好吗？它是以16进制的形式被发送出去的：
　　这几乎是一封完整的邮件，里面包含了以16进制伪造的URL参数：sender=mynicesite.com。当用户点击链接时，用户的浏览器就会直接开始第一例所说的处理过程而弹出警告窗口。


第二部分：跨站Script攻击的防犯

一、如何避免服务器受到跨站Script的攻击
值得庆幸的是，防止跨站Script攻击的技术正趋于完善。目前可采取这几种方式来防止跨站
Script的攻击：
1.对动态生成的页面的字符进行编码
2.对输入进行过滤和限制
3.使用HTML和URL编码

1.对动态生成的页面的字符进行编码
　　你们首先要采用的就是对动态生成页面的字符进行编码，你必须这样做，不然黑客很有可能更改你的字符设置而轻易地通过你的防线。如果我们的网站是个英语网站，这样只要我们把字符编码设成拉丁字符ISO-8859-1就行了，具体情况如下：
<META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">

2.过滤和限制所有输入的数据
　　这是防止跨站Script的攻击的第二种方法，在进行登录的时侯，不要让那些特殊的字符也输入进去。因此我们可在ONSUBMIT方法中加入JAVASCRIPT程序来完成这个功能。在本例中我们限制最多只能输
入15个字符。这样可以阻止那些较长的script的输入。

在<<Knowledge Base Article QA252985>>这本书中微软提供了一个简短的Javascript程序来完成对输入数据的过滤。我们也根据具体情况引进了这段代码用于我们的例子中，如：

用这个办法，可以过滤在输入中含有的这些字符：% < > [ ] { } ; & + - " '( )

上一页  [1] [2] [3] 下一页