【51CTO.com 獨(dú)家報(bào)道】今天是2009年3月9日。星期一總是一周里最繁忙的一天。對(duì)安全測(cè)試工程師來(lái)說(shuō)，也同樣繁忙。不過(guò)呢，有位工程師就忙里偷閑，給我們發(fā)來(lái)國(guó)內(nèi)兩大站點(diǎn)含有跨站漏洞的消息。跨站漏洞能造成什么危害，這個(gè)智者見(jiàn)智，仁者見(jiàn)人。

但我們一定要感謝這些安全領(lǐng)域的雷鋒同志，正是由于這些白帽子有道德黑客，才減少了我們網(wǎng)民被攻擊的危險(xiǎn)。同時(shí)，也希望以下兩大站點(diǎn)的技術(shù)人員能看到這篇文章。

圖1

圖2

截止到2009年3月13日，華軍軟件園已將跨站問(wèn)題修復(fù)。

對(duì)51CTO網(wǎng)友的答疑：

什么是跨站漏洞？跨站漏洞是由于程序員在編寫(xiě)程序時(shí)對(duì)一些變量沒(méi)有做充分的過(guò)濾，直接把用戶(hù)提交的數(shù)據(jù)送到SQL語(yǔ)句里執(zhí)行，這樣導(dǎo)致用戶(hù)可以提交一些特意構(gòu)造的語(yǔ)句一般都是帶有像JavaScript等這類(lèi)腳本代碼。在這基礎(chǔ)上，黑客利用跨站漏洞輸入惡意的腳本代碼，當(dāng)惡意的代碼被執(zhí)行后就形成了所謂的跨站攻擊。一般來(lái)說(shuō)對(duì)于人機(jī)交互比較高的程序，比如論壇，留言板這類(lèi)程序都比較容易進(jìn)行跨站攻擊。

利用跨站漏洞黑客可以在網(wǎng)站中插入任意代碼，這些代碼的功能包括獲取網(wǎng)站管理員或普通用戶(hù)的cookie，隱蔽運(yùn)行網(wǎng)頁(yè)木馬，甚至格式化瀏覽者的硬盤(pán)，只要腳本代碼能夠?qū)崿F(xiàn)的功能，跨站攻擊都能夠達(dá)到。（以上是由51CTO的記者測(cè)試alert彈出框代碼，只做演示，并無(wú)惡意攻擊行為）

【51CTO.COM 獨(dú)家報(bào)道，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 網(wǎng)站常見(jiàn)攻擊和防范
2. 存儲(chǔ)世界storworld.com被惡意掛馬
3. 新刑法強(qiáng)力震懾 黑客違法可判7年
4. MSN中國(guó)官網(wǎng)昨日被掛馬 2009或成駭客盛年