跨站脚本蠕虫的技术与研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
( L no t nE gnen nvrt,hnzo 4 0 0 , ea , hn ) P AI r i n i r gU i syZ egh u 5 0 2 H n n C ia f ma o ei ei
A s at bt c r
Cos i c pigaak( S )ioeo e s cm o a s t ki e el f eu t vleait sI t s a rs St Sr t t c X S s n t t o m nmen a a t a o cry unrb ie.n h — — e i n t fh mo f o tc n h r m s i li ip
t n . h s at l S isr ci e t h e e rh o S i s T i r ce i n t t o te r s ac n XS . o i u v Ke wo d y rs S c r y v l e a i t s Me n t c C o sst c p i g w r E a p e e u t u n r b l i i ie a so at k f a r s -i s r t o ms e i n x m ls
第2 7卷 第 7期
21 0 0年 7月
计算机 应 用与软 件
Co u e p i ain n ot r mp tr Ap lc to s a d S fwa e
Vo . 7 No 7 12 .
J1 0 0 u.2 1
跨 站 脚本 蠕 虫 的技 术 与研 究
钱艳艳 舒 辉
od ao et ) ri t nC ne 对跨站脚本漏 洞做 了这样 的描述 : 跨站脚 ni r “
本漏洞是因为 We 用程序没 有将用 户的输 入进行 有效验证 b应 和过滤 , 就将其输入插入 到响应 中引起 的。攻击 者以服务器 为 中转站 。 把包含恶意脚本 的代 码发送到 受害者 的浏 览器来发起 攻击。 主要原 因是 网站 中有漏洞 , ” 没能够进 行有效地 阻止恶意 脚本的输入和执行 。We b蠕虫开 始出现并 日渐流行 , 对大型 门 户网站和社 区交友类站点危 害严重 , 常导致 站点受 到拒绝服务 攻击/ 分布式拒绝服务攻击 D sD o ( ei f ev eDs i- 0/ D S D na o Sr e/ ir l i tb u dD na o ev e , t e i Sri ) 站点合法用户的信息 泄漏 或被非法篡改 e lf c
0 引 言
随着互联 网的 日益普及 , b应用 因为其方便 、 We 快捷 、 时 实 和低成本等特性得到飞速发展 , 并逐 渐成为互联 网中使 用最为 广泛 的服务 , 在信息传送 、 信息 获取 和信息共享等方面给人们 的
日常生活和工作带来了极大 的便利 。但是 另一方面 , b的开 We
ຫໍສະໝຸດ Baidu
p rwef s y g v e c p in o h rs — i c pi g l a a e ̄l we t t p n i ls a d wa so t c . h n w e in a s mp e e r t ie a d s r t ft e c o sst s r t e k g i l i o e i n l d wi i r cp e n y fa t k T e e d sg a l o h s i a
点 已经成为网络攻击 的主要对象 , b安全也逐渐 成为 网络信 we 息安全中研究人员逐渐 关注 的热点 问题之一 。而在 We b安全
中, 跨站脚本 漏洞攻击 又是 近几年来最 为突出 、 击数量最多 、 攻
破 坏 效 果最 为严 重 的 网 络 漏 洞 之 一 。 图 l为 C E公 布 的 20 V 00
放性 、 易用 性 和 We 应 用 的易 于开 发 性 使 得 We 用 的安 全 问 b b应 题 日益 突 出 。 近 年 来 , 对 We 用 的 攻 击 层 出 不 穷 , b站 针 b应 We
1 跨 站脚 本 漏 洞 与 攻 击
1 1 跨 站脚本 及 其原理 .
U - E T C ( . . o p t m rec epneTa / o SC R / C U S C m ue E egnyR so s em C - r
cosst c pigWOT a d a ayei. ial eat l e n t tsa S is n ewhc l srtstepo e so t c sa d d src rs・i s r t n l n n ls tFn l t ri ed mo sr e nXS n t c ih iu t e h rc s f t k n et - e i n yh c a a l a aa u
年到 2 0 07年 We b应用程序中漏 洞 比例及发展趋 势示 意图。从
( 解放军信息工程大学 河南 郑州 4 0 0 ) 50 2
摘
要
跨 站脚本攻 击( S ) 目前 安全漏 洞中最为常用 的攻 击手段之一。介绍 了跨 站脚 本漏 洞及 其基本原理 和攻 击方 式; XS是 设
计 了一个跨站脚本蠕 虫, 并对其进行 分析 ; 出了一个 X S的实例及其攻击破坏 的过 程。对研 究 X S起到 一定 的启示作用。 给 S S
关键 词 安 全 漏 洞 攻 击 手 段 跨 站 脚 本 蠕 虫 实例
R S A H R S S T C I T N WORM E HN QU S E E RC ON C OS -I E S R P I G T C I E
Qa a yn S uH i inY na h u
A s at bt c r
Cos i c pigaak( S )ioeo e s cm o a s t ki e el f eu t vleait sI t s a rs St Sr t t c X S s n t t o m nmen a a t a o cry unrb ie.n h — — e i n t fh mo f o tc n h r m s i li ip
t n . h s at l S isr ci e t h e e rh o S i s T i r ce i n t t o te r s ac n XS . o i u v Ke wo d y rs S c r y v l e a i t s Me n t c C o sst c p i g w r E a p e e u t u n r b l i i ie a so at k f a r s -i s r t o ms e i n x m ls
第2 7卷 第 7期
21 0 0年 7月
计算机 应 用与软 件
Co u e p i ain n ot r mp tr Ap lc to s a d S fwa e
Vo . 7 No 7 12 .
J1 0 0 u.2 1
跨 站 脚本 蠕 虫 的技 术 与研 究
钱艳艳 舒 辉
od ao et ) ri t nC ne 对跨站脚本漏 洞做 了这样 的描述 : 跨站脚 ni r “
本漏洞是因为 We 用程序没 有将用 户的输 入进行 有效验证 b应 和过滤 , 就将其输入插入 到响应 中引起 的。攻击 者以服务器 为 中转站 。 把包含恶意脚本 的代 码发送到 受害者 的浏 览器来发起 攻击。 主要原 因是 网站 中有漏洞 , ” 没能够进 行有效地 阻止恶意 脚本的输入和执行 。We b蠕虫开 始出现并 日渐流行 , 对大型 门 户网站和社 区交友类站点危 害严重 , 常导致 站点受 到拒绝服务 攻击/ 分布式拒绝服务攻击 D sD o ( ei f ev eDs i- 0/ D S D na o Sr e/ ir l i tb u dD na o ev e , t e i Sri ) 站点合法用户的信息 泄漏 或被非法篡改 e lf c
0 引 言
随着互联 网的 日益普及 , b应用 因为其方便 、 We 快捷 、 时 实 和低成本等特性得到飞速发展 , 并逐 渐成为互联 网中使 用最为 广泛 的服务 , 在信息传送 、 信息 获取 和信息共享等方面给人们 的
日常生活和工作带来了极大 的便利 。但是 另一方面 , b的开 We
ຫໍສະໝຸດ Baidu
p rwef s y g v e c p in o h rs — i c pi g l a a e ̄l we t t p n i ls a d wa so t c . h n w e in a s mp e e r t ie a d s r t ft e c o sst s r t e k g i l i o e i n l d wi i r cp e n y fa t k T e e d sg a l o h s i a
点 已经成为网络攻击 的主要对象 , b安全也逐渐 成为 网络信 we 息安全中研究人员逐渐 关注 的热点 问题之一 。而在 We b安全
中, 跨站脚本 漏洞攻击 又是 近几年来最 为突出 、 击数量最多 、 攻
破 坏 效 果最 为严 重 的 网 络 漏 洞 之 一 。 图 l为 C E公 布 的 20 V 00
放性 、 易用 性 和 We 应 用 的易 于开 发 性 使 得 We 用 的安 全 问 b b应 题 日益 突 出 。 近 年 来 , 对 We 用 的 攻 击 层 出 不 穷 , b站 针 b应 We
1 跨 站脚 本 漏 洞 与 攻 击
1 1 跨 站脚本 及 其原理 .
U - E T C ( . . o p t m rec epneTa / o SC R / C U S C m ue E egnyR so s em C - r
cosst c pigWOT a d a ayei. ial eat l e n t tsa S is n ewhc l srtstepo e so t c sa d d src rs・i s r t n l n n ls tFn l t ri ed mo sr e nXS n t c ih iu t e h rc s f t k n et - e i n yh c a a l a aa u
年到 2 0 07年 We b应用程序中漏 洞 比例及发展趋 势示 意图。从
( 解放军信息工程大学 河南 郑州 4 0 0 ) 50 2
摘
要
跨 站脚本攻 击( S ) 目前 安全漏 洞中最为常用 的攻 击手段之一。介绍 了跨 站脚 本漏 洞及 其基本原理 和攻 击方 式; XS是 设
计 了一个跨站脚本蠕 虫, 并对其进行 分析 ; 出了一个 X S的实例及其攻击破坏 的过 程。对研 究 X S起到 一定 的启示作用。 给 S S
关键 词 安 全 漏 洞 攻 击 手 段 跨 站 脚 本 蠕 虫 实例
R S A H R S S T C I T N WORM E HN QU S E E RC ON C OS -I E S R P I G T C I E
Qa a yn S uH i inY na h u