用户登录
好(0) 差(0) 阅读(1551) 评论(0)
各种动态脚本语言如asp、php等,给网站建设带来了快速便捷的同时,也带给了网站很多的安全问题。各种脚本漏洞被张贴在各大安全站点、黑客杂志,从最早的引号过滤漏洞,到Unicode漏洞,再到各种花样的SQL注射漏洞,真是层出不穷。于是吸引了大量的黑客和安全人士来研究,弄得今天这个论坛程序爆出头像上传漏洞,明儿那个blog程序又发现跨站脚本漏洞,一时之间各种论坛、blog程序、新闻系统、软件下载系统、音乐下载系统都被折腾得鸡犬不宁。经过一段时间的黑与反黑,发现漏洞与发布补丁,各种论坛、blog之类的全站系统的安全性都大为提高,像引号没有过滤这种低级错误逐渐不容易在成熟的全站系统中找到了。但是强大的动态脚本远不止用来做全站系统,于是一些动态脚本的边缘应用,由于受黑客、安全人士的关注不及全站系统,便成了滋生脚本漏洞的温床。本文以网站计数统计系统为例,主要阐述我发现两个网站计数统计系统的漏洞的经历,并在最后作一些总结,希望能启发大家在边缘地带上的思路。
……
(本文已经发表在《黑客X档案》2005年10月刊(57-62页),欲阅读全文请支持正版杂志。本小区会员可进入“F-Zone”,把月历调到2005年8月即可看到本文全文。)
跨站漏洞测试成功截图(点击图片查看大图):
黑客X档案2005年10月封面:
最后修改:Wen 于 2007-03-05 00:47:52
