Web2.0黑暗面暴露 Web助黑客入侵

全站搜索

首页 -> 技术学院 -> 系统安全 -> 安全文摘

2006-08-21 作者：EASUN编辑阅读量：

雅虎遇袭

6月份，一名病毒编写者用雅虎的web电邮服务发出了一封隐含某种JavaScript代码的邮件，使雅虎的网页邮件服务遭到“恶意代码”的冲击。由于雅虎允许网页执行JavaScript，因此其邮件系统很容易受到Yamanner蠕虫病毒的攻击。

任何打开邮件的人都激活了脚本，这些脚本向用户的地址簿发出请求，然后将蠕虫病毒发给地址簿中的每个人，其目的也许是为散布垃圾邮件而收集邮件地址。

“如果没有Ajax，Yamanner蠕虫病毒就不可能发生，”SPI Dynamics安全研究员比利.霍夫曼（Billy Hoffman）称。

“令人害怕的是，在雅虎看来，没有什么危险的事发生，用户只不过创建并发送了一封邮件。浏览器也一样，发现了某个Java脚本，就运行了它，而最终用户对此也无能为力。”

上月，谷歌RSS阅读器也发现了类似的缺陷。谷歌采用了JavaScript技术，以便用户能够为阅读器添加新闻源，而一位安全专家能够向新闻源地址添加数据，从而使浏览器连向另一个网站。如果带有恶意目的，所连向的可能是欺骗用户吐露个人信息的网络钓鱼（phishing）网站。

跨站脚本漏洞

网络安全业内将Web2.0网站内的这些编码缺陷，称为跨站脚本（XSS）或跨站脚本漏洞。

近期利用跨站脚本漏洞的最著名事件，是去年10月份MySpace网站遭到的相对良性攻击。MySpace是如今最大的社交网站，用户人数达5400万。

19岁的洛杉矶软件开发员“Samy”编写了一段蠕虫程序，令他获得了逾100万网上“好友”，直至MySpace使该程序失效。他在自己的MySpace简介里，置入一段JavaScript代码，这样每个查看简介的人会在不知不觉中执行这段代码。这段代码把他列为该用户的好友之一，而在通常情况下，列为好友需要得到该用户的同意，但他写的蠕虫使用Ajax技术，使之在后台批准他的请求。

接着，该蠕虫会打开该用户自己的简介，把恶意代码复制进去，并把Samy添加到那里的任何英雄列表中，还附上一句话：“但Samy是我最敬佩的英雄”。同样，任何查看该用户简介的人也会被感染，这样Samy的名声和“人气”迅速扩大到100万MySpace会员。

责任编辑：EASUN
文章来源：PCICP.COM 2006-08-21