[摘要] 网管们需要注意了:根据来自Mitre的新数据显示,跨站点的脚本漏洞现在比起诸如Buffer overflows这样臭名昭著的bug来说是更有吸引力的目标。Mitre是美国政府资助的研究机构。
Buffer overflows在很长一段时间里都曾经是恶意软件攻击的最普遍类型。Inter和AMD甚至在各自的芯片产品中嵌入一种叫NX(不执行)或者XD(无法执行)的技术来以硬件方式防止这种攻击。
但是根据Mitre的发现,现在情况正在渐渐改变了。Buffer overflows影响的是用诸如C语言编写的可执行文件。而跨站点脚本(XSS)漏洞变得越来越受欢迎了。这表示攻击者正在把目标转向专门用在网络应用中的编程语言,比如JAVA,.NET和PHP等等。
客户端脚本语言通常都会包含同源策略,该策略只有在网络对象与网页来自同一域并且使用相同协议时,才允许它们之间的交互。XSS漏洞能使恶意站点钻这些策略的空子,来秘密地访问其他对象或者浏览器窗口的敏感数据。
第二种普遍的攻击形式是SQL注入。该攻击使攻击者能在数据库中执行恶意SQL语句。第三种普遍的攻击方式是PHP“内含”的漏洞,它让攻击者能够通过把任意脚本包含在已存在的脚本中的方式,在服务器上执行该脚本。
今年到目前为止,Mitre记录了超过20000的被报道的漏洞。这些漏洞中21.5%是XSS,14%是SQL注入,9.5%是PHP“内含”。Buffer overflows排第四,占7.9%。
根据业内期刊Dark Reading的报道,Mitre在星期三纽约的数码安全执行会议中首次讨论了这些发现。
【责任编辑 林洪技】
博士教育【点击次数排列】更多>>
