110互动论坛's Archiver

免费法律咨询

网易学院 发表于 2007-1-19 15:41

跨站脚本漏洞遭到利用 黑客成功攻击Netscape.com

2006年7月26日,Netscape.com成为它与对手Digg.com用户在线争吵的一个牺牲品。后者,Digg.com的在线新闻服务的Fans出于对Digg.com的热爱,采取了一些暴力手段--攻击了Netscape.com,以改变两者之间的一个平衡状态。这次攻击是利用了跨站脚本(XSS)漏洞。黑客攻击成功后,在Netscape.com上放置了一些搞笑的消息:“This site sucks”或者“Hi to all you Digger out there”,并同时将其自动转向Digg.com。黑客在Netscape的所有页面插入了JavaScript代码片段,包括首页。另外,该攻击被用来插入恶意代码的可能性并不能确定。

  Netscape.com被黑是安全专家们发现的,但是该安全专家没有就该问题公开发布任何更新,同时黑客的身份仍然不清楚。“攻击者是使用XSS漏洞向站点页面中插入他们自己的JavaScript代码片段的,包括首页”反钓鱼式攻击研究者S.G Masood在笔记中写道,“幸运的是,攻击者们尚未在其中插入恶意代码。”

  美国在线的代表解释说该漏洞被利用是因为来自用户的信息提交的不正确过滤。从而导致包含跨战脚本利用程式的信息提交成功地绕过了Netscape.com的安全防御,使攻击得逞。Netscape的批评者们已经谴责它拷贝Digg.com模式的社会新闻站点,该新闻站点自2006年6月开始运营。

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.