Når vi tenke på et tidspunkt da hackere, hackere pleier å like dette portrettet: en einstøing, stille inn andre folks tjenere, å ødelegge eller stjele andres hemmeligheter. Kanskje han vil forandre vår hjemmeside, vil uredelige påstander stjele kunder kredittkortnumre og passord. I tillegg vil hacker-angrep for å besøke vår hjemmeside kunder. Samtidig ble vår server hans medskyldig. Microsoft kaller dette angrepet som en "cross-site script" angrep. De fleste av disse angrepene fant sted i dynamisk genererte web-siden til rett tid, men hacker's mål er ikke til nettstedet ditt, men du besøke nettsiden til kunden.
Beskrivelse av cross-site script angrep
I en bok med tittelen ADVISORY CA--2000-02 for magasinet, CERT advarer oss: Hvis serveren på klienten innspill er ikke effektiv verifikasjon, vil ondsinnede hackere inn noen HTML-kode, da disse HTML SCRIPT programkode inngangen brukes, kan de bruke den til å utføre sabotasje, for eksempel innsetting av noe støtende bilder eller lyder, osv., men også kan forstyrre kunden rett nettside.
Vi vet at noen venner hadde blitt overtalt til å fri en rekke mistenkelige steder, får de bare 10 til 20 små vinduet, er disse vinduene ofte ledsaget av dannelsen av svikt i JAVA eller avascript sikkerhet knappen, er dette kjent som musen felle. Lukk vinduet er forgjeves, da vi lukker et vindu, vil en annen popup-vindu med et par 10. Dette skjer ofte når administratoren ikke i Hou Fasheng. Hackere bruker musen arrangementet er på tvers av områder angrepsmetoder SCRIPT eksempel på kunden.
Skriptkodene og ondsinnede rampestreker er ikke enkle, de kan stjele informasjon og ødelagt systemet. Ikke en smart eller til og med smarte hackere er i stand til å forstyrre eller endre serveren ved hjelp av SCRIPT data input. SCRIPT koden kan også angrep med klientmaskiner, gjør skade på harddisken din. Og du vet, når du bruker server side, er hackere SCRIPT også et trygt sted der serveren kjører til! Hvis kunden et brev på serveren din er identifisert, den samme tillit til at de vil SCRIPT ondsinnet kode. Selv denne koden kommer i form av script eller OBJECT server fra hackere.
Selv med en brannmur (SSL), kan ikke hindre cross-site angrep SCRIPT. Det er fordi hvis utstyret genererer skadelig skript kode også bruker SSL, SSL-serveren som vi ikke kan identifisere koden til. Vi har å gjøre med kunden klarerte områder deretter overlate hackere det? Og eksistensen av slike skader, gjør mulig tap av omdømme nettstedet ditt.
Først på tvers av områder angrep SCRIPT eksempel:
Ifølge CERT informasjonen, har dynamisk input generelt disse skjemaene: webadresseparametere, form elementer, COOKISE og data forespørsler. La oss analysere, de eneste to sider av nettsiden, siden har navnet: MYNICESITE.COM. Først bruke et skjema eller cookie for å få brukernavn:
% @ Language = VBScript%
% Hvis Request.Cookies ("brukernavn") "" Så
Dim strRedirectUrl
strRedirectUrl = "page2.asp? brukernavn ="
strRedirectUrl = strRedirectUrl & Response.Cookies ("brukernavn")
Response.Redirect (strRedirectUrl)
Else%
HTML
HEAD
TITLE MyNiceSite.com Home Page / TITLE
/ HEAD
BODY
h2 MyNiceSite.com / h2
form Method="POST" action="page2.asp"
Skriv inn ditt brukernavn MyNiceSite.com:
INPUT Type="text" name="userName"
INPUT Type="submit" name="Submit" value="submit"
/ FORM
/ BODY
/ HTML
% End If%
Den andre siden returnerer brukernavnet velkommen:
% @ Language = VBScript%
% Dim strUserName
Hvis Request.QueryString ("brukernavn") "" Så
strUserName = Request.QueryString ("brukernavn")
Else
Response.Cookies ("brukernavn") = Request.Form ("brukernavn")
strUserName = Request.Form ("brukernavn")
End If%
HTML
HEAD / HEAD
BODY
h3 Align="center" Hei: % = strUserName% / H3
/ BODY
/ HTML
Når du skriver inn tekst normal ofte, er alt normalt. Hvis du skriver inn Script koden: script varsling (''Hei .''; / script , vil avascript advarsel etiketten dukker opp:
Neste gang du besøker, denne advarselen etiketten vises den samme; Dette er fordi Script koden i tiden etter at det første besøket hadde vært å bo i en informasjonskapsel. Dette er et enkelt eksempel på cross-site angrep.
Hvis du tror dette er et spesielt tilfelle, kan du også ønsker å se andre steder på nettet, i egen person prøve. Jeg har på en rekke store offentlige nettsteder, pedagogiske nettsteder og kommersielle nettsteder testet, er det faktisk en del av dem ovenfor nevnte situasjonen, jeg selv funnet et sted jeg ofte bruker kredittkort er faktisk på input uten filtrering, Tenk virkelig forferdelig.
For det andre, ved hjelp av e-post til Cross Site Script Attack
Cross-site script angrep brukt i listen serveren, usenet-servere og e-postservere er spesielt sårbare til å komme. Det følgende er et eksempel for å forklare MyNiceSite.com nettstedet. Siden du ofte bla gjennom nettstedet, gjør sitt innhold ikke legge det ned du elsker, så du ubevisst sette leseren inn i en dynamisk webinnhold tillit er alltid denne innstillingen.
MyNiceSite.com nettstedet er alltid gjennom salg av abonnement e-post adresse i e-post brev å få inntekter, noe som er faktisk en veldig god idé. Så jeg kjøpte den i en postkasse adresse. Og laget en masse mail til deg. I brevet, sier jeg deg så snart som mulig til å besøke denne siden og sjekke kontoen din ved hjelp av den siste situasjonen. For å gi deg en praktisk, jeg også laget en link til dette brevet. Jeg vil koble sammen URL, brukernavnet parameter i skriptkode å slikke lagt til. Noen kunder uten å vite klikke på denne linken, som er på min når (bildet), og jeg har også nytt godt av:
Det er dette arbeidet, som når du klikker på denne lenken etter lenken i manuset koden vil bli brukt til å guide din nettleser for å laste ned avascript program og kjøre den. Min Script kontrollerer du bruker IE, å fortsette å laste ned ActiceX kontroll particularlyNasty.dll. Fordi før du har innholdet på dette nettstedet som alltid er trygg, så min script kode og alle Active kontroller på maskinen din kan løpe fritt.
3, ActiveX angrep beskrivelse
Når vi diskuterer ActiveX, CERT og Microsoft ingen henvisning til cross-site script metode er risikoen. W3C I "" The Security Ofte stilte spørsmål av ActiveX sikkerhetsspørsmål ble gjort på en mer detaljert beskrivelse. Java-applet på kontroll over systemet er strengt begrenset. Søn utvikling når det fastslår at bare de som utgjør noen trussel for sikkerheten i systemet fikk lov til å kjøre operasjonen.
På den annen side er ActiveX på drift av systemet ikke er strengt begrenset. Men hvis man har blitt lastet ned, kan du installere den kjørbare som gjør hva de ønsket å gjøre det samme. IE nettleser for denne funksjonen er også til visse begrensninger, slik som de usikre området, i standardinnstillingene vil ikke tillate deg å laste ned eller gi deg en advarsel spørsmål. Er basert på utvikling av ActiveX for selskaper som VeriSign Inc., har de gitt nummerert ActiveX-kontroller. Når du laster ned etter tidskontroll, vil IE kikker gi deg en advarsel og viser graden av dens troverdighet kjeltring. Av brukeren bestemme om du vil tro denne kontrollen. Som et system sikkerheten øker.
Men for de brukere som ikke har mye erfaring, var de ofte ubevisst, til de opprinnelige innstillingene endret for å tillate disse kontrollene uten å spørre på den nedlastede. I tillegg, en novise, selv i tilfelle av en melding om å laste ned uten å tenke vil ikke foreta noen merker der kontrollene. I våre eksempler, fordi du stoler på området, endre innstillingene i nettleseren, så styrer ActiveX uten å spørre for å laste ned, og uvitende på maskinen begynner å gå .
4, 16 hex kodet ActiveX Script angrep
Bad intensjoner bør skille mellom etiketten og manuset er veldig vanskelig. Skript kan også være i form av 16 hex gjemme seg. La oss se på følgende e-post dette eksemplet kan du? Det er i form av 16 Hex er sendt ut:
Det er nesten en fullstendig melding, som inneholder en 16 hex smidd webadresseparametere: sender = mynicesite.com. Når brukeren klikker på lenken, brukerens nettleser vil starte det første tilfellet henvist direkte til behandling av popup-advarsel vinduet.
Del II: Cross Site Script Attack kriminalitetsforebygging
Først, hvordan å unngå å bli cross-site server angrep Script
Heldigvis hindrer tvers av områder angrepet Script teknologi perfeksjonere. Flere måter dette kan tas for å unngå kryss-site angrep Script:
En. På dynamisk genererte sider er kodet tegn
2. Filtrere og begrense input
Tre. Bruk av HTML og URL-koding
En. På dynamisk genererte sider er kodet tegn
Du må først bruke dynamisk genererte sider på tegnkoding, må du gjøre det, eller hacker er sannsynlig å endre tegnsettet og enkelt gjennom forsvarslinje. Hvis vår side er på engelsk nettside, så hvis vi setter tegnkodingen til latin tegn ISO-8859-1 på linjen, som følger:
META Http-equiv="Content-Type" content="text/html;charset=ISO-8859-1"
2. Filtrering og begrense all input data
Dette for å hindre kryss-site Script Den andre metoden for angrep, i løpet logge Ikke la disse spesialtegnene er angitt. Derfor kan vi legge avascript prosedyrer send måte å fullføre denne funksjonen. I dette tilfellet begrenser vi kan bare skrive inn 15 tegn. Dette vil hindre de lange skript input.
I Knowledge Base-artikkel QA252985 Denne boken gir en kort Microsoft avascript for å fullføre inndata filtrering. Vi introduserte også under spesielle forhold denne koden for vårt eksempel, slik som:
funksjon checkForm () (
document.forms [0]. userName.value = _
RemoveBad (document.forms [0]. UserName.value);
return true;
)
/ / MICROSOFT''S KODE
funksjon RemoveBad (strTemp) (
strTemp = strTemp.replace (/ / /"/''/%/;/(/)/&/+/-/ g ,"");
tilbake strTemp;
)
Ved hjelp av denne metoden, kan du filtrere de som finnes i input karakter:
% [] (); Og + - "''()
Tre. Bruk av HTML og URL-koding
Selv om bruken av filtre og restriksjoner nevnt ovenfor, er den input metoden å bruke et svært viktig virkemiddel for forsvar, men det var min måte av slike angrep ved post eller maktesløse. Jeg satte webadresseparametere direkte på meldingen. I lys av dette vi må ta en mer robust sikkerhetstiltak. Hvis vi bruker ASP, relativt sett, for å løse en mye enklere. Så lenge totalen for dynamisk genererte HTML-sider og URL-koding på linjen. Saken for vårt eksempel, skriv den første siden i webadresse vi gjort følgende endringer:
strRedirectUrl = strRedirectUrl & _
server.URLEncode (Response.Cookies ("brukernavn"))
Vi ble med i gjennomføringen av siden:
strUserName = server.HTMLEncode (Request.QueryString ("brukernavn"))
Og
strUserName = server.HTMLEncode (Request.Form ("brukernavn"))
Microsoft anbefaler for alle inn-og utgang av dynamiske sider skal kodes. Selv dataene inn i databasen og fjerne det samme skulle være tilfelle. Slik at du kan stort sett unngå cross-site script angrep.
For å oppnå disse bør legges i Page1.asp:
% @ Language = VBScript%
% Hvis Request.Cookies ("brukernavn") "" Så
''Omadresser dersom merker informasjonskapselen
Dim strRedirectUrl
strRedirectUrl = "page2.asp? brukernavn ="
strRedirectUrl = strRedirectUrl & _
server.URLEncode (Request.Cookies ("brukernavn"))
Response.Redirect (strRedirectUrl)
Else%
HTML
HEAD
META Http-equiv="Content-Type"content="text/html; charset=ISO-8859-1"
TITLE MyNiceSite.com Home Page / TITLE
/ HEAD
SCRIPT LANGUAGE="avascript"
! -
funksjon checkForm () (
document.forms [0]. userName.value =
RemoveBad (document.forms [0]. UserName.value);
return true;
)
fil //*********************************************** *******
fil / / Programmer: ikke original KODEN - KOMMER FRA MICROSOFT
fil / / Kode Kilde: Microsoft Knowledge Base-artikkel Q25z985
fil / / Beskrivelse: Fjerner dårlig tegn.
fil //*********************************************** *******
funksjon RemoveBad (strTemp) (
strTemp = strTemp.replace (/ / /"/''/%/;/(/)/&/+/-/ g, "");
tilbake strTemp;
)
fil //--
/ Script
BODY
BR
h2 MyNiceSite.com / h2
BR
form Method="post"action="page2.asp" onsubmit="return checkForm();"
Skriv inn ditt brukernavn MyNiceSite.com:
INPUT Type="text"name="userName" width="10" maxwidth="10"
INPUT Type="submit"name="submit" value="submit"
/ FORM
/ BODY
/ HTML
% End if%
Page2.asp Canada som:
% @ Language = VBScript%
% Dim strUserName
Hvis Request.QueryString ("brukernavn ") "" Da
strUserName = server.HTMLEncode (Request.QueryString ("brukernavn"))
Else
Response.Cookies ("brukernavn") = Request.Form ("brukernavn")
strUserName = server.HTMLEncode (Request.Form ("brukernavn"))
End If%
HTML
HEAD
META Http-equiv="Content-Type" content="text/html;charset=ISO-8859-1"
/ HEAD
BODY
h3 Align="center" Hei: % = strUserName% / H3
/ BODY
/ HTML
Nå på grunn av dette angrepet var en effektiv kontroll. At de etiketter og Script av ondsinnet kode, er de i skriftlig form har dukket opp, som vist nedenfor:
Vi har også øke IIS komponenten brukes til å filtrere alle av en dynamisk innspill fra spesialtegn. For de som har gode nettsider, for å hindre at denne tilnærmingen cross-site script angrep kommer lett. Vi kan blokkere denne kontrollen ANMODNING mål fra ASP-sider, kan form, cookie, til innholdet i anmodningen strengen og prosedyrer oppdage:
Vi kan også skrive loggfil gjennom metoden av statistiske data til å slutte seg til komponentene. Hver gang en kunde inn en ulovlig karakter, vil denne komponenten notere sin IP-adresse og tid. Detaljer er Doug dekan Roll din egen IIS Søknad på ASPToday artikkelen.
Vi trenger bare å ta noen enkle Buju effektivt kan hindre kryss-site script angrep. Bortsett fra de ovenfor nevnte tre metodene, Microsoft og CERT også sterkt anbefalt å bruke en prosess de kaller "sunn fornuft sjekk" tilnærming. For eksempel si at det bare er tillatt å gå inn den digitale inngangen vinduet, og vi gir det å være begrenset, og tillater bare 0-9 digital inngang. Microsoft og CERT brukes til inn tegn i denne begrensede innfallsvinkel enn de separate bruk av filtrering spesialtegn er mye bedre. Vedtatt disse tiltakene, kan du la dem som besøker nettstedet ditt når kunder besøker nettstedet ditt for å være beskyttet.
For det andre, fra hackere angripe våre kikker metoden:
Når du surfer på nettet til rett tid Hvordan unngå å bli angrepet? Microsoft og CERT anbefaler ikke å røre vill gjetter i online Hu. I lys av dette, kalt PC Magazine John Dvorack en kolonne laget av et interessant svar. Han mener dette er Microsofts overlagt handlinger: det er å skremme folk som surfer på disse nettstedene er trygt å besøke, som AOL og MSN.com websiden.
I våre eksempler, selv om du ikke er online på tilfeldig vandrende, kan vi ikke unngå å bli i Internett-hacker-angrep. Ironisk nok, kommer det meste av risikoen fra våre mest pålitelige nettsteder. Hvis du vil at nettstedet skal ikke spørsmålet, må du ikke laste ned noe dynamisk innhold eller cookie. Forutsi detaljer, vennligst se i nettleserens informasjon.
Microsoft advarer også om at leseren bør du sette Active Script og å strengt begrense delstaten E-post er også satt til strengt begrense mottar modus. Klikk på lenken i meldingen, må du være forsiktig. For ytterligere informasjon henvises til en navngitt Microsoft''s Knowledge Base-artikkel Q253117 bok. Som en forholdsregel, du bør nok være litt mer online opplevelse og tid til å være forsiktig.
Konklusjon
Hvis du er en tidligere UNIX program utvikler, kan du ikke vet hva betyr at cross-site script. Du vet at mange ledere nettstedet logget på brukernavn og passord henholdsvis rot, rot. Det samme antall database administrator og passord var SA, passord. Du vet webzine (som Phrack og Alt2600), i henhold til metodene de tilbyr deg en steg for steg lar en server å kjenne svakheter. I denne maskinvaren, du vet også at mange av nettstedet database server og web server er ikke selv-beskyttelse. Men opplevelsen av en hacker, må maskinen lammelse.
Mens det er lett å ta for å hindre systemet fra hackere tiltak, men vårt system er utsatt for hacker har vært før. Vi har all grunn til å tro at neste år blir det en del nye sikkerhetsproblemer. Mr. John Howard i CERT selskapet under veiledning har vært nevnt i en artikkel: "Ifølge denne studien, med hvert domenenavn på Internett nettsiden til gjennomsnittsår, angrep av hackere minst én gang. "
På servere, selv om bare én slik angrep er uutholdelig. Cross Site Script angrep er en annen måte hackere kan bruke. Men, vi trenger bare nevnte enkel behandling kan forhindre forekomsten av denne formen for angrep.
Når vi tenke på et tidspunkt da hackere, hackere pleier å like dette portrettet: en einstøing, stille inn andre folks tjenere, å ødelegge eller stjele andres hemmeligheter. Kanskje han vil forandre vår hjemmeside, vil uredelige påstander stjele kunder kredittkortnumre og passord. I tillegg vil hacker-angrep for å besøke vår hjemmeside kunder. Samtidig ble vår server hans medskyldig. Microsoft kaller dette angrepet som en "cross-site script" angrep. De fleste av disse angrepene fant sted i dynamisk genererte web-siden til rett tid, men hacker's mål er ikke til nettstedet ditt, men du besøke nettsiden til kunden.
Beskrivelse av cross-site script angrep
I en bok med tittelen ADVISORY CA--2000-02 for magasinet, CERT advarer oss: Hvis serveren på klienten innspill er ikke effektiv verifikasjon, vil ondsinnede hackere inn noen HTML-kode, da disse HTML SCRIPT programkode inngangen brukes, kan de bruke den til å utføre sabotasje, for eksempel innsetting av noe støtende bilder eller lyder, osv., men også kan forstyrre kunden rett nettside.
Vi vet at noen venner hadde blitt overtalt til å fri en rekke mistenkelige steder, får de bare 10 til 20 små vinduet, er disse vinduene ofte ledsaget av dannelsen av svikt i JAVA eller avascript sikkerhet knappen, er dette kjent som musen felle. Lukk vinduet er forgjeves, da vi lukker et vindu, vil en annen popup-vindu med et par 10. Dette skjer ofte når administratoren ikke i Hou Fasheng. Hackere bruker musen arrangementet er på tvers av områder angrepsmetoder SCRIPT eksempel på kunden.
Skriptkodene og ondsinnede rampestreker er ikke enkle, de kan stjele informasjon og ødelagt systemet. Er ikke en smart eller smarte hackere er i stand til å forstyrre eller endre serveren ved hjelp av SCRIPT data input. SCRIPT koden kan også angrep med klientmaskiner, gjør skade på harddisken din. Og du vet, når du bruker server side, er hackere SCRIPT også et trygt sted der serveren kjører til! Hvis kunden et brev på serveren din er identifisert, den samme tillit til at de vil SCRIPT ondsinnet kode. Selv denne koden kommer i form av script eller OBJECT server fra hackere.
Selv med en brannmur (SSL), kan ikke hindre cross-site angrep SCRIPT. Det er fordi hvis utstyret genererer skadelig skript kode også bruker SSL, SSL-serveren som vi ikke kan identifisere koden til. Vi har å gjøre med kunden klarerte områder deretter overlate hackere det? Og eksistensen av slike skader, gjør mulig tap av omdømme nettstedet ditt.
Først på tvers av områder angrep SCRIPT eksempel:
Ifølge CERT informasjonen, har dynamisk input generelt disse skjemaene: webadresseparametere, form elementer, COOKISE og data forespørsler. La oss analysere, de eneste to sider av nettsiden, siden har navnet: MYNICESITE.COM. Først bruke et skjema eller cookie for å få brukernavn:
% @ Language = VBScript%
% Hvis Request.Cookies ("brukernavn") "" Så
Dim strRedirectUrl
strRedirectUrl = "page2.asp? brukernavn ="
strRedirectUrl = strRedirectUrl & Response.Cookies ("brukernavn")
Response.Redirect (strRedirectUrl)
Else%
HTML
HEAD
TITLE MyNiceSite.com Home Page / TITLE
/ HEAD
BODY
h2 MyNiceSite.com / h2
form Method="POST" action="page2.asp"
Skriv inn ditt brukernavn MyNiceSite.com:
INPUT Type="text" name="userName"
INPUT Type="submit" name="Submit" value="submit"
/ FORM
/ BODY
/ HTML
% End If%
Den andre siden returnerer brukernavnet velkommen:
% @ Language = VBScript%
% Dim strUserName
Hvis Request.QueryString ("brukernavn") "" Så
strUserName = Request.QueryString ("brukernavn")
Else
Response.Cookies ("brukernavn") = Request.Form ("brukernavn")
strUserName = Request.Form ("brukernavn")
End If%
HTML
HEAD / HEAD
BODY
h3 Align="center" Hei: % = strUserName% / H3
/ BODY
/ HTML
Når du skriver inn tekst normal ofte, er alt normalt. Hvis du skriver inn Script koden: script varsling (''Hei .''; / script , vil avascript advarsel etiketten dukker opp:
Neste gang du besøker, denne advarselen etiketten vises den samme; Dette er fordi Script koden i tiden etter at det første besøket hadde vært å bo i en informasjonskapsel. Dette er et enkelt eksempel på cross-site angrep.
Hvis du tror dette er et spesielt tilfelle, kan du også ønsker å se andre steder på nettet, i egen person prøve. Jeg har noen store offentlige nettsteder, pedagogiske nettsteder og kommersielle nettsteder testet, noen av dem gjør mer enn hva situasjonen der, jeg selv funnet et sted jeg ofte bruker kredittkort er faktisk på input uten filtrering, Tenk virkelig forferdelig.
For det andre, ved hjelp av e-post til Cross Site Script Attack
Cross-site script angrep brukt i listen serveren, usenet-servere og e-postservere er spesielt sårbare til å komme. Det følgende er et eksempel for å forklare MyNiceSite.com nettstedet. Siden du ofte bla gjennom nettstedet, gjør sitt innhold ikke legge det ned du elsker, så du ubevisst sette leseren inn i en dynamisk webinnhold tillit er alltid denne innstillingen.
MyNiceSite.com nettstedet er alltid gjennom salg av abonnement e-post adresse i e-post brev å få inntekter, noe som er faktisk en veldig god idé. Så jeg kjøpte den i en postkasse adresse. Og laget en masse mail til deg. I brevet, sier jeg deg så snart som mulig til å besøke denne siden og sjekke kontoen din ved hjelp av den siste situasjonen. For å gi deg en praktisk, jeg også laget en link til dette brevet. Jeg vil koble sammen URL, brukernavnet parameter i skriptkode å slikke lagt til. Noen kunder uten å vite klikke på denne linken, som er på min når (bildet), og jeg har også nytt godt av:
Det er dette arbeidet, som når du klikker på denne lenken etter lenken i manuset koden vil bli brukt til å guide din nettleser for å laste ned avascript program og kjøre den. Min Script kontrollerer du bruker IE, å fortsette å laste ned ActiceX kontroll particularlyNasty.dll. Fordi før du har innholdet på dette nettstedet som alltid er trygg, så min script kode og alle Active kontroller på maskinen din kan løpe fritt.
3, ActiveX angrep beskrivelse
Når vi diskuterer ActiveX, CERT og Microsoft ingen henvisning til cross-site script metode er risikoen. W3C I "" The Security Ofte stilte spørsmål av ActiveX sikkerhetsspørsmål ble gjort på en mer detaljert beskrivelse. Java-applet på kontroll over systemet er strengt begrenset. Søn utvikling når det fastslår at bare de som utgjør noen trussel for sikkerheten i systemet fikk lov til å kjøre operasjonen.
På den annen side er ActiveX på drift av systemet ikke er strengt begrenset. Men hvis man har blitt lastet ned, kan du installere den kjørbare som gjør hva de ønsket å gjøre det samme. IE nettleser for denne funksjonen er også til visse begrensninger, slik som de usikre området, i standardinnstillingene vil ikke tillate deg å laste ned eller gi deg en advarsel spørsmål. Er basert på utvikling av ActiveX for selskaper som VeriSign Inc., har de gitt nummerert ActiveX-kontroller. Når du laster ned etter tidskontroll, vil IE kikker gi deg en advarsel og viser graden av dens troverdighet kjeltring. Av brukeren bestemme om du vil tro denne kontrollen. Som et system sikkerheten øker.
Men for de brukere som ikke har mye erfaring, var de ofte ubevisst, til de opprinnelige innstillingene endret for å tillate disse kontrollene uten å spørre på den nedlastede. I tillegg, en novise, selv i tilfelle av en melding om å laste ned uten å tenke vil ikke foreta noen merker der kontrollene. I våre eksempler, fordi du stoler på området, endre innstillingene i nettleseren, så styrer ActiveX uten å spørre for å laste ned, og uvitende på maskinen begynner å gå .
4, 16 hex kodet ActiveX Script angrep
Bad intensjoner bør skille mellom etiketten og manuset er veldig vanskelig. Skript kan også være i form av 16 hex gjemme seg. La oss se på følgende e-post dette eksemplet kan du? Det er i form av 16 Hex er sendt ut:
Det er nesten en fullstendig melding, som inneholder en 16 hex smidd webadresseparametere: sender = mynicesite.com. Når brukeren klikker på lenken, brukerens nettleser vil starte det første tilfellet henvist direkte til behandling av popup-advarsel vinduet.
Del II: Cross Site Script Attack kriminalitetsforebygging
Først, hvordan å unngå å bli cross-site server angrep Script
Heldigvis hindrer tvers av områder angrepet Script teknologi perfeksjonere. Flere måter dette kan tas for å unngå kryss-site angrep Script:
En. På dynamisk genererte sider er kodet tegn
2. Filtrere og begrense input
Tre. Bruk av HTML og URL-koding
En. På dynamisk genererte sider er kodet tegn
Du må først bruke dynamisk genererte sider på tegnkoding, må du gjøre det, eller hacker er sannsynlig å endre tegnsettet og enkelt gjennom forsvarslinje. Hvis vår side er på engelsk nettside, så hvis vi setter tegnkodingen til latin tegn ISO-8859-1 på linjen, som følger:
META Http-equiv="Content-Type" content="text/html;charset=ISO-8859-1"
2. Filtrering og begrense all input data
Dette for å hindre kryss-site Script Den andre metoden for angrep, i løpet logge Ikke la disse spesialtegnene er angitt. Derfor kan vi legge avascript prosedyrer send måte å fullføre denne funksjonen. I dette tilfellet begrenser vi kan bare skrive inn 15 tegn. Dette vil hindre de lange skript input.
I Knowledge Base-artikkel QA252985 Denne boken gir en kort Microsoft avascript for å fullføre inndata filtrering. Vi introduserte også under spesielle forhold denne koden for vårt eksempel, slik som:
funksjon checkForm () (
document.forms [0]. userName.value = _
RemoveBad (document.forms [0]. UserName.value);
return true;
)
/ / MICROSOFT''S KODE
funksjon RemoveBad (strTemp) (
strTemp = strTemp.replace (/ / /"/''/%/;/(/)/&/+/-/ g ,"");
tilbake strTemp;
)
Ved hjelp av denne metoden, kan du filtrere de som finnes i input karakter:
% [] (); Og + - "''()
Tre. Bruk av HTML og URL-koding
Selv om bruken av filtre og restriksjoner nevnt ovenfor, er den input metoden å bruke et svært viktig virkemiddel for forsvar, men det var min måte av slike angrep ved post eller maktesløse. Jeg satte webadresseparametere direkte på meldingen. I lys av dette vi må ta en mer robust sikkerhetstiltak. Hvis vi bruker ASP, relativt sett, for å løse en mye enklere. Så lenge totalen for dynamisk genererte HTML-sider og URL-koding på linjen. Saken for vårt eksempel, skriv den første siden i webadresse vi gjort følgende endringer:
strRedirectUrl = strRedirectUrl & _
server.URLEncode (Response.Cookies ("brukernavn"))
Vi ble med i gjennomføringen av siden:
strUserName = server.HTMLEncode (Request.QueryString ("brukernavn"))
Og
strUserName = server.HTMLEncode (Request.Form ("brukernavn"))
Microsoft anbefaler for alle inn-og utgang av dynamiske sider skal kodes. Selv dataene inn i databasen og fjerne det samme skulle være tilfelle. Slik at du kan stort sett unngå cross-site script angrep.
For å oppnå disse bør legges i Page1.asp:
% @ Language = VBScript%
% Hvis Request.Cookies ("brukernavn") "" Så
''Omadresser dersom merker informasjonskapselen
Dim strRedirectUrl
strRedirectUrl = "page2.asp? brukernavn ="
strRedirectUrl = strRedirectUrl & _
server.URLEncode (Request.Cookies ("brukernavn"))
Response.Redirect (strRedirectUrl)
Else%
HTML
HEAD
META Http-equiv="Content-Type"content="text/html; charset=ISO-8859-1"
TITLE MyNiceSite.com Home Page / TITLE
/ HEAD
SCRIPT LANGUAGE="avascript"
! -
funksjon checkForm () (
document.forms [0]. userName.value =
RemoveBad (document.forms [0]. UserName.value);
return true;
)
fil //*********************************************** *******
fil / / Programmer: ikke original KODEN - KOMMER FRA MICROSOFT
fil / / Kode Kilde: Microsoft Knowledge Base-artikkel Q25z985
fil / / Beskrivelse: Fjerner dårlig tegn.
fil //*********************************************** *******
funksjon RemoveBad (strTemp) (
strTemp = strTemp.replace (/ / /"/''/%/;/(/)/&/+/-/ g, "");
tilbake strTemp;
)
fil //--
/ Script
BODY
BR
h2 MyNiceSite.com / h2
BR
form Method="post"action="page2.asp" onsubmit="return checkForm();"
Skriv inn ditt brukernavn MyNiceSite.com:
INPUT Type="text"name="userName" width="10" maxwidth="10"
INPUT Type="submit"name="submit" value="submit"
/ FORM
/ BODY
/ HTML
% End if%
Page2.asp Canada som:
% @ Language = VBScript%
% Dim strUserName
Hvis Request.QueryString ("brukernavn ") "" Da
strUserName = server.HTMLEncode (Request.QueryString ("brukernavn"))
Else
Response.Cookies ("brukernavn") = Request.Form ("brukernavn")
strUserName = server.HTMLEncode (Request.Form ("brukernavn"))
End If%
HTML
HEAD
META Http-equiv="Content-Type" content="text/html;charset=ISO-8859-1"
/ HEAD
BODY
h3 Align="center" Hei: % = strUserName% / H3
/ BODY
/ HTML
Nå på grunn av dette angrepet var en effektiv kontroll. At de etiketter og Script av ondsinnet kode, er de i skriftlig form har dukket opp, som vist nedenfor:
Vi har også øke IIS komponenten brukes til å filtrere alle av en dynamisk innspill fra spesialtegn. For de som har gode nettsider, for å hindre at denne tilnærmingen cross-site script angrep kommer lett. Vi kan blokkere denne kontrollen ANMODNING mål fra ASP-sider, kan form, cookie, til innholdet i anmodningen strengen og prosedyrer oppdage:
Vi kan også skrive loggfil gjennom metoden av statistiske data til å slutte seg til komponentene. Hver gang en kunde inn en ulovlig karakter, vil denne komponenten notere sin IP-adresse og tid. Detaljer er Doug dekan Roll din egen IIS Søknad på ASPToday artikkelen.
Vi trenger bare å ta noen enkle Buju effektivt kan hindre kryss-site script angrep. Bortsett fra de ovenfor nevnte tre metodene, Microsoft og CERT også sterkt anbefalt å bruke en prosess de kaller "sunn fornuft sjekk" tilnærming.例如,假设有个输入窗口只允许输入数字,我们就给它做个限定,只允许0-9数字的输入。微软和CERT所采用的这种对输入的字符进行限定的办法要比单独的采用过滤特殊字符要好得多。采用了这些措施后你就能让那些参观你网站的客户在访问你网站时受到保护。
二、免受黑客攻击我们浏览器方法:
当你在网上漫游的时侯,怎样来避免受到攻击呢?微软和CERT建议不要在网上胡碰乱撞。针对这种情况,PC杂志一个栏目的名叫John Dvorack作者作了一个饶有兴趣的回答。他认为这是微软公司一起有预谋的行为:就是用来恐吓网上冲浪的人到那些安全的站点去浏览,如美国在线和MSN.com网站。
在我们所举的例子中,即使你不在网上胡乱游荡,也不能避免在网上遭到黑客的袭击。具有讽刺意义的是,大多数的危险都来自于我们最信任的网站。如果要让网站一定不出问题,你只好不下载任何动态内容或者任何cookie。预知详情请参阅浏览器的相关资料。
微软也警告你们应把浏览器的Active Script设置成严格限制的状态并把Email也设成严格限制的接收模式。在点击邮件中的链接时,一定要小心。如需进一步了解情况请参阅一本名叫<<Microsoft''s Knowledge Base Article Q253117>>的书。为了以防万一,你最好是多一点上网经验,并且时刻要小心谨慎。
结论
如果你是以前的UNIX程序开发人员,你也许不会知道跨站script意谓着什么。你知道许多站点的管理人员登录的用户名和密码分别为root,root.同样许多数据库管理员的名称和密码分别为sa,password。你也知道Webzine(如Phrack 和 Alt2600),依据他们所提供的方法能让你一步步地知道某台服务器的弱点。在这种硬件上,你也知道许多网站的数据库服务器和web服务器都没有进行自我保护。一但遭遇黑客,机器就得瘫痪。
尽管我们很容易采取防止系统受到黑客的攻击的措施,但我们的系统是一直暴露在黑客面前的。我们完全有理由相信下一年还会出现一些新的安全漏洞。在CERT公司John Howard先生指导下完成的一篇论文中曾提到:"跟据目前的研究显示,每个在英特网上具有域名的网站平均一年被黑客至少攻击一次。"
对服务器来说那怕只是一次这种攻击也是不能承受的。跨站Script攻击是黑客可采用的另一种方法。但我们只要进行以上所说的一些简单的处理就能防止这种形式攻击的发生。