　　二、用E-Mail进行跨站Script攻击

　　跨站script攻击用在列表服务器，usenet服务器和邮件服务器来得特别容易。下面还是以MyNiceSite.com网站为例进行说明。

主页空间购买||网页空间注册

由于你经常浏览这个网站，它的内容也的确让你爱不爱不释手，因此在不知不觉中你就把浏览器的改成了总是信任这个动态网站内容的设置。

　　MyNiceSite.com网站总是通过出售征订它们Email信件的邮箱地址来获得收入，这的确是一种不太好的办法。于是我买了它的一份邮箱地址。并发了大量的邮件给你们。在信中我告诉你们尽快访问这个网站，并检查你们帐户使用的最新情况。为了让你们感到方便，我在这信中也作了链接。我在这链接URL中的username参数中舔加了script代码。有些客户在不知不觉中就点击了这个链接，也就是说上了我的当，同时我也从中得到了好处：

　　它是这样工作的，当你点击这个链接的时后，在链接里的script代码就会引导你所用浏览器去下载我的JavaScript程序并执行它。主页空间购买||网页空间注册我的Script检查到你使用的是IE浏览器后，就着手下载ActiceX控件 particularlyNasty.dll。因为之前你已经把这个网站的内容认为总是安全的，这样，我的script代码和Active 控件就能在你机器上自由自在的运行了。

　　三、 Activex攻击说明

　　在讨论ActiveX时，CERT和微软都没提到跨站script方法所带来的的危险。W3C在＜＜安全常见问题解答＞＞中对ActiveX的安全问题作了比较详尽的说明。Java applet对系统的控制受到严格限制。SUN开发它时就规定，只有那些对系统的安全不构成威胁的操作才被允许运行。

　　在另一方面，ActiveX对系统的操作就没有严格地被限制。如果一但被下载，就可以象安装的可执行程序一样做他们想干的事情。针对这一特点IE浏览器也作了某些限制，如对于那些不安全的站点，在它的默认设置中就会不允许你进行下载或者会给你警告的提示。正在基于ActiveX进行开发的公司，如VeriSign公司，它们对ActiveX控件都给编了号。当你在下载控件的时后，IE浏览器会给你警告并显示它的可信籁程度。由用户决定是否相信这个控件。这样一来系统的安全性就增加了。

　　但是，对于那些没有多少经验的用户来说，他们往往不自觉地对原来的设置进行了修改，让这些控件在没有任何提示的情况下就下载了。

主页空间购买||网页空间注册

对一个新手来说，即使在有提示的情况下也会不加思索地下载那些没作任何标记的控件。在我们所举的例子中，由于你对该站点的信任，改了浏览器的设置，这样，ActiveX控件在不经过任何提示的情况下就下载，并在你的机器上不知不觉地开始运行。

　　四、16进制编码的ActiveX Script攻击

　　要把用心不良的标签和script区分出来是一件非常困难的事。Script还可以16进制的形式把自己藏起来。让我们看看下面这个E-mail范例好吗？它是以16进制的形式被发送出去的：

　　这几乎是一封完整的邮件，里面包含了以16进制伪造的URL参数：sender=mynicesite.com。当用户点击链接时，用户的浏览器就会直接开始第一例所说的处理过程而弹出警告窗口。

　　我们也可增加一个IIS组件用于过滤所有从动态输入中的特殊字符。主页空间购买||网页空间注册对于那些已经做好的网站，采用这种办法来防止跨站script的攻击来得非常容易。我们的这个控件能拦截来自ASP页面的REQUEST目标，可对表格，cookie,请求字串和程序的内容进行检测：

　　我们也可以通过编写log文件的方法把统计数据加入这个组件中。每当一个客户输入一个非法字符时，这个组件会记下它的IP地址和时间。详情请见Doug Dean的＜＜Roll your Own IIS Application on ASPToday＞＞一文。

　　我们只需采取一些简单的步聚就能有效地阻止跨站script的攻击。除了以上所说的三种方法外，微软和CERT还强烈推荐使用一种他们称之为“sanity check”的方法。例如，假设有个输入窗口只允许输入数字，我们就给它做个限定，只允许0-9数字的输入。微软和CERT所采用的这种对输入的字符进行限定的办法要比单独的采用过滤特殊字符要好得多。采用了这些措施后你就能让那些参观你网站的客户在访问你网站时受到保护。

　　

主页空间购买||网页空间注册

　　当你在网上漫游的时侯，怎样来避免受到攻击呢？微软和CERT建议不要在网上胡碰乱撞。针对这种情况，PC杂志一个栏目的名叫John Dvorack作者作了一个饶有兴趣的回答。他认为这是微软公司一起有预谋的行为：就是用来恐吓网上冲浪的人到那些安全的站点去浏览，如美国在线和MSN.com网站。

　　在我们所举的例子中，即使你不在网上胡乱游荡，也不能避免在网上遭到黑客的袭击。具有讽刺意义的是，大多数的危险都来自于我们最信任的网站。主页空间购买||网页空间注册如果要让网站一定不出问题，你只好不下载任何动态内容或者任何cookie。预知详情请参阅浏览器的相关资料。

　　微软也警告你们应把浏览器的Active Script设置成严格限制的状态并把Email也设成严格限制的接收模式。在点击邮件中的链接时，一定要小心。如需进一步了解情况请参阅一本名叫＜＜Microsoft's Knowledge Base Article Q253117＞＞的书。为了以防万一，你最好是多一点上网经验，并且时刻要小心谨慎。上海、珠海、深圳、南京、长沙、广州、合肥、沈阳、大连、长春、哈尔滨、石家庄、承德、秦皇岛、保定、黄骅、大同、太原、包头、呼和浩特、锦州、山西、陕西、山东、四川、鞍山、抚顺、丹东、牡丹江、温州、天津、北京、主页空间购买、网页空间注册、宁波、无锡、苏州、杭州、扬州、常州、福州、厦门、赣州、景德镇、南昌、烟台、威海、济南、淄博、潍坊、青岛、洛阳、郑州、宜昌、武汉、肇庆、湛江、桂林、惠阳、汕头、主页空间购买、网页空间注册、海口、三亚、绵阳、成都、南宁、北海、重庆、贵阳、大理、昆明、拉萨、延安、西安、敦煌、兰州、西宁、银川、伊宁、乌鲁木齐、张家界、开封、连云港、台北、高雄、香港、澳门、辽宁、宁夏、青海、西藏、新疆、云南、安徽、浙江、福建、甘肃、广东、广西、贵州、河南、湖北、湖南、内蒙、江苏、江西、吉林、海南、河北、黑龙江。

主页空间购买、网页空间注册相关