這兩天很流行玩這個(gè):
http://www.icbc.com.cn/news/hotspot.jsp?column=%3Cfont%20size=10%3E%BD%F7%B4%CB%D4%AA%B5%A9%BC%D1%BD%DA%D6%AE%BC%CA%A3%AC%B9%A4%C9%CC%D2%F8%D0%D0%B8%F8%C3%BF%B8%F6%B4%A2%BB%A7%C3%E2%B7%D1%B7%A2%B7%C51000%CD%F2%C3%C0%BD%F0%3C/font%3E
會(huì)出來(lái):
還有更好玩的:
http://www.icbc.com.cn/news/hotspot.jsp?column=%3Cscript%3ER%3D0%3B%20x1%3D.1%3B%20y1%3D.05%3B%20x2%3D.25%3B%20y2%3D.24%3B%20x3%3D1.6%3B%20y3%3D.24%3B%20x4%3D300%3B%20y4%3D200%3B%20x5%3D300%3B%20y5%3D200%3B%20DI%3Ddocument.body.getElementsByTagName%28%27table%27%29%3B%20DIL%3DDI.length%3B%20function%20A%28%29%7Bfor%28i%3DDIL-1%3Bi%3E-1%3Bi--%29%7BDIS%3DDI%5B%20i%20%5D.style%3B%20DIS.position%3D%27absolute%27%3B%20DIS.left%3DMath.sin%28R*x1-%28-%28i*x2-%28-%28x3%29%29%29%29%29*x4-%28-%28x5%29%29%3B%20DIS.top%3DMath.cos%28R*y1-i*y2-y3%29*y4-%28-%28y5%29%29%7DR--%7Dwindow.onload%20%3D%20function%20%28%29%20%7BsetInterval%28%27A%28%29%27%2C5%29%3Bdocument.title%3D%27FBI%27%7D%3C/script%3E
整個(gè)頁(yè)面都可以出來(lái)動(dòng)畫(huà)效果
這還不夠好玩?還有更更好玩的:
http://www.donews.com/Content/200612/92ac3138ade9406c81d72a057a995f5e.shtm
DoNews(北京)12月31日消息(記者 徐新事)近日網(wǎng)上盛傳中國(guó)工商銀行網(wǎng)站被黑客攻擊,網(wǎng)友在IM和論壇里傳播“
中國(guó)工商銀行宣布破產(chǎn)
”、“
中國(guó)工商銀行轉(zhuǎn)讓80%給**網(wǎng)站
”等偽造的信息。此類(lèi)惡搞信息造成網(wǎng)友認(rèn)知混亂,認(rèn)為中國(guó)工商銀行網(wǎng)上銀行不可靠,發(fā)起對(duì)網(wǎng)絡(luò)銀行安全性質(zhì)疑。記者就此事采訪(fǎng)資深網(wǎng)絡(luò)專(zhuān)家
龍如俊
先生。龍如俊認(rèn)為這只是常見(jiàn)的跨站式Xss處理不當(dāng)造成,談不上攻擊,對(duì)工行網(wǎng)銀安全不存在威脅。
龍如俊介紹到,幾種常見(jiàn)Web站點(diǎn)不安全的編程漏洞包括密碼漏洞、跨站腳本漏洞、不安全的存儲(chǔ)漏洞和拒絕服務(wù)漏洞。此次中國(guó)工商銀行網(wǎng)站的漏洞就是跨站腳本漏洞,實(shí)際上就是腳本人員對(duì)跨站式Xss處理不當(dāng)。網(wǎng)友利用該漏洞,編輯特殊代碼后得到網(wǎng)上傳播的鏈接,但是對(duì)正常的網(wǎng)銀交易不會(huì)產(chǎn)生任何影響。
龍如俊稱(chēng)跨站式Xss處理不當(dāng)是常見(jiàn)的Bug,就是微軟、雅虎、亞馬遜等公司都出現(xiàn)過(guò)此類(lèi)問(wèn)題,也都難以避免這種現(xiàn)象。如Yahoo! Mail中采取了積極的防預(yù)措施來(lái)預(yù)防XSS。特別是其郵件站點(diǎn)在適當(dāng)?shù)纳舷挛闹袑?javascript”轉(zhuǎn)換成了"_javascript”,以阻止代碼的執(zhí)行。他說(shuō):“這并非重大故障,更談不上是攻擊,對(duì)工行網(wǎng)銀安全不會(huì)存在任何威脅。”
至于為何出現(xiàn)該跨站式Xss漏洞,龍如俊稱(chēng)主要有兩個(gè)原因。首先,HTML沒(méi)有明確區(qū)分代碼和數(shù)據(jù);其次,程序在將用戶(hù)數(shù)據(jù)發(fā)送回瀏覽器時(shí)沒(méi)有進(jìn)行有效的轉(zhuǎn)義,這導(dǎo)致包含有引號(hào)的數(shù)據(jù)被放入頁(yè)面中。
“當(dāng)前流行的Ajax技術(shù)對(duì)預(yù)防跨站式Xss漏洞方面有一定好處,”龍如俊說(shuō):“Ajax技術(shù)包含一個(gè)專(zhuān)用渠道XML鏈接,其中全是數(shù)據(jù)而沒(méi)有代碼。這樣,就有可能讓客戶(hù)端AJAX引擎負(fù)責(zé)對(duì)字符串進(jìn)行轉(zhuǎn)義、檢測(cè)不正確的值。”
但龍如俊表示直到AJAX更為成熟或更為標(biāo)準(zhǔn)化,否則只會(huì)導(dǎo)致錯(cuò)誤的編程和安全漏洞,畢竟Ajax技術(shù)只是web2.0中涌出新型技術(shù)還不夠成熟。(完)
XSS漏洞根本就不是“HTML沒(méi)有明確區(qū)分代碼和數(shù)據(jù)”帶來(lái)的問(wèn)題,而是“程序員沒(méi)有明確區(qū)分代碼和數(shù)據(jù)”帶來(lái)的問(wèn)題。各大網(wǎng)站不但都遇到過(guò)這樣的問(wèn)題,很多網(wǎng)站也在這上面栽過(guò)大跟斗吃過(guò)大虧。網(wǎng)絡(luò)安全無(wú)小事,大家用龍如俊專(zhuān)家這樣的態(tài)度來(lái)處理問(wèn)題,黑客們就有福了。
此外“跨站式Xss”本身也是個(gè)很外行的說(shuō)法。XSS是Cross-Site-Script的縮寫(xiě)(跨站腳本),第一個(gè)單詞Cross有“交叉”的意思,縮寫(xiě)的時(shí)候就用一個(gè)大大的“叉”來(lái)縮寫(xiě)。所以XSS就是跨站腳本,哪里還有什么“跨站式的跨站腳本”?
發(fā)出這篇文章之后,很驚訝的發(fā)現(xiàn)龍如俊的博客鏈接就在文章里面:
http://longrujun.name/default.html
從博客上看,龍如俊真稱(chēng)得上是“往來(lái)無(wú)白丁”了。他的好友里面赫然有:劉韌、蔣濤、曾登高這樣一些如雷貫耳的名字,想必他本人也不是泛泛之輩。看看他對(duì)此事的原始評(píng)論把:
http://longrujun.name/blogs/longrujun/archive/2006/12/31/_E88DD97A1A812C6708FF_XSS_09FF0F6F1E6DEE959898F25DCF7E0D4E2F66EE959898_.aspx
從原文看來(lái),龍大師比記者所轉(zhuǎn)述的還是要內(nèi)行的多的:
典型攻擊:涉及XSS的典型攻擊通常都需要稱(chēng)為“social engineering(社會(huì)工程)”的什么東西。意味著說(shuō)服某人點(diǎn)擊您所創(chuàng)建的某一鏈接,該鏈接包含指向某一Web站點(diǎn)的提交功能,該站點(diǎn)具有XSS漏洞,該鏈接通過(guò)該漏洞提交JavaScript代碼。提交的JavaScript代碼通常會(huì)從用戶(hù)的瀏覽器竊取會(huì)話(huà)cookie,并將它們提交給攻擊者的某一Web站點(diǎn)。攻擊者然后可以使用這些會(huì)話(huà)來(lái)冒充受攻擊用戶(hù),且無(wú)需密碼。盡管策動(dòng)這種攻擊比較困難,但攻擊者卻可以很好地文檔
化和理解它,因此必須謹(jǐn)慎地加以避免。
這段話(huà)雖然有點(diǎn)含糊其辭(“social engineering(社會(huì)工程)”的什么東西是什么東西?),但是觀(guān)點(diǎn)基本是明確的(“盡管策動(dòng)這種攻擊比較困難”這句又很讓人懷疑他的根本觀(guān)點(diǎn)是什么)。但是話(huà)從徐新事大記者嘴巴里面出來(lái)就變成了:
龍如俊認(rèn)為這只是常見(jiàn)的跨站式Xss處理不當(dāng)造成,談不上攻擊,對(duì)工行網(wǎng)銀安全不存在威脅。
一開(kāi)始以為是徐大記者自作主張強(qiáng)奸了龍如俊的愿意,看了看龍如俊的其他文章,他本人曾經(jīng)擔(dān)任過(guò)(或者仍然擔(dān)任著)DoNews技術(shù)顧問(wèn),而且他和徐記者也不是頭一回合作了,看來(lái)還很樂(lè)意被徐記者采訪(fǎng)(還是強(qiáng)奸?)并在自己的博客里面轉(zhuǎn)徐記者的新聞稿。而且龍的標(biāo)題也是很容易引起誤會(huì)的:《跨站腳本(XSS)漏洞問(wèn)題已經(jīng)不是問(wèn)題》,既可以理解為技術(shù)上規(guī)避此漏洞不難的意思,也可以理解為這個(gè)漏洞不會(huì)造成安全威脅的意思。這樣他們兩個(gè)誰(shuí)在臭嘴巴就無(wú)從考證了。
XSS漏洞其實(shí)是十分危險(xiǎn),很成問(wèn)題,很容易被惡意利用的。如果沒(méi)有驗(yàn)證碼或者重新輸入密碼驗(yàn)證的限制,一個(gè)在線(xiàn)郵箱系統(tǒng)的一出現(xiàn)XSS漏洞可以很容易利用來(lái)盜取用戶(hù)個(gè)人資料、修改密碼;如果沒(méi)有IP限制,就可以被利用來(lái)竊取session,偽造登錄狀態(tài)。輕則破壞用戶(hù)數(shù)據(jù),重則盜取郵件中的商業(yè)、隱私、財(cái)務(wù)資料,后果不堪設(shè)想。在論壇、博客等系統(tǒng)中一樣的可以用來(lái)進(jìn)行身份冒充、惡意消費(fèi)和數(shù)據(jù)破壞。現(xiàn)在這樣一個(gè)漏洞出現(xiàn)在一個(gè)銀行的官方網(wǎng)站上,而且數(shù)天時(shí)間沒(méi)有得到積極響應(yīng)(咨詢(xún)了工行的朋友,得到的惟一答復(fù)就是龍如俊的文章)和處理,讓人怎么不懷疑這個(gè)銀行的開(kāi)發(fā)人員的水平和責(zé)任心?這樣的人有能力保護(hù)好自己客戶(hù)的資料和錢(qián)嗎?