Cross-site scripting又被簡稱為XSS1,而中文譯名則為跨網頁攻擊或是跨網站攻擊。大家可以從 OWASP2 網站的十大網站攻擊手法中發現到,跨網頁攻擊總是名列攻擊排行榜上的前五名,由此可見跨網頁攻擊的普遍性。另外,大家所熟知的釣魚攻擊(Phishing Attack),也是利用跨網頁攻擊的弱點所進行的攻擊。
而談到跨網頁攻擊是如何發生的,那得先從HTML開始說起。在最原始的HTML網頁,所有的HTML都是為靜態網頁,也就是說每一個網頁幾乎都有一個固定的URL相對應,所以相對來說,靜態網頁並不適合被用於資料庫的存取應用,因而進一步衍生發展成為現在被廣泛應用的動態網頁技術。相較於靜態網頁只是單純的顯示網頁內容,動態網頁可以讓網頁顯示動態的資訊,現在已被大部分的網站廣泛利用,例如網站購物、即時新聞…等。
跨網頁攻擊這個名詞也許會讓一般人感覺很困惑,簡單的來說,跨網頁攻擊是利用動態網頁的特性、網頁中的程式錯誤,以及利用開發者沒有嚴格限制回傳參數及過濾輸入之特殊字元,將具攻擊性的JavaScript、VB Script、ActiveX,或FLASH程式碼置入而所進行的攻擊。所以跨網頁攻擊可能會對企業網站造成相當大的影響。跨網站攻擊的應用其實非常廣泛,攻擊者可以利用它偷取Cookie,進一步得到被攻擊者的輸入參數,例如,帳號密碼等。
而攻擊者是如何利用跨網頁攻擊手法進行所謂的釣魚攻擊﹖攻擊者必須利用跨網頁攻擊的特性以社交工程 (Social Engineering3) 的方式,讓被攻擊者上勾。換句話說,也就是攻擊者將已包裝好的連結,藉由Email或MSN等,讓被攻擊者連結到此連結來完成所謂的跨網頁攻擊。首先,攻擊者會找尋目標,利用簡單的檢測手法尋找擁有此弱點的網站。然後,攻擊者便可建立跟原本的網頁很類似的網頁登入畫面在自己的伺服器上,最後,再將包裝好的URL以社交工程手法,欺騙使用者上勾。待成功攻擊之後,攻擊者便可利用收集來的帳號和密碼進行資料竊取。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7174
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
