2008年6月11日消息，據(jù)國外媒體報道，XSSed的調(diào)查中發(fā)現(xiàn)，在McAfee、Symantec、 VeriSign等公司的站點中發(fā)現(xiàn)了跨站腳本漏洞。

在大家討論黑客們經(jīng)合法網(wǎng)站發(fā)動攻擊的時候，可能沒有人認(rèn)為主要安全廠商的站點存在著漏洞。

但是，根據(jù)一家安全監(jiān)察站點星期一發(fā)布的一份報告，得出了相反的結(jié)論。這家XSSed站點談到，它已經(jīng)確認(rèn)了大約30個跨站漏洞在行業(yè)內(nèi)三個最著名的安全廠商中傳播：McAfee、 Symantec 及 VeriSign。這些漏洞使得攻擊者能夠從這些站點發(fā)動釣魚攻擊，或者將惡意軟件發(fā)布給公司的客戶。

近來的研究顯示出，基于Web的攻擊正越來越多地從被人們信任的、合法網(wǎng)站發(fā)起，而不是從那些草率建起的站點和由攻擊者建立的服務(wù)器發(fā)動。通過利用合法網(wǎng)站的漏洞，攻擊者可以贏得釣魚攻擊的可信性，或者獲得惡意軟件鏈接并繞過可以阻止已知釣魚站點黑名單的安全工具。

XSSed的創(chuàng)始人之一Kevin Fernandez說，這份新的報告顯示出這些大的安全廠商的站點在這種趨勢中也絕不例外�！斑@顯示出任何公司都可被XSS（跨站腳本攻擊）感染，”他說。事實上，F(xiàn)ernandez說，一些攻擊者特別地針對McAfee、Symantec、VeriSign等公司的站點進(jìn)行漏洞搜索。

安全顧問公司SecTheory 的首席執(zhí)行官Robert Hansen (aka RSnake) 說， “不幸的是，許多網(wǎng)站趨于遭受一些相對簡單的漏洞所帶來的痛苦。這更加糟糕，雖然同樣的一些鼓吹安全的安全廠商通常也像其它公司一樣需要幫助。這讓我們相信，知道了問題并不意味著你就對問題具有免疫力�！�

WhiteHat Security 安全公司的CTO Jeremiah Grossman指出，這是McAfee和 Symantec等公司的XSS漏洞首次暴露在網(wǎng)站上。 早在一月份的時候，XSSed就報告了這樣一個事實：收到McAfee 掃描警告服務(wù)“免于黑客攻擊”標(biāo)簽的大約60家站點都易于遭受XSS攻擊。

同時，掃描警告“免于黑客攻擊”項目的企業(yè)服務(wù)主管Joseph Pierini認(rèn)為，XSS漏洞可能不被用于攻擊一個服務(wù)器�！澳憧梢杂盟�做其它一些事情。你可以用它做一些影響終端用戶或客戶端的事情。不過受到服務(wù)器保護(hù)的數(shù)據(jù)庫中的客戶數(shù)據(jù)并不可能直接受到跨站腳本攻擊的損害。”

賽門鐵克的安全響應(yīng)主管Oliver Friedrichs 在一月份XSSed報告之后發(fā)表了這樣的觀點，“XSS漏洞確實展示出一種嚴(yán)重的風(fēng)險。然而，到目前為止，其真正的使用卻受到了限制。XSS漏洞可以導(dǎo)致竊取會話的cookies、網(wǎng)站的登錄憑證，并可以濫用信任關(guān)系。XSS漏洞是針對特定網(wǎng)站的，所以其生命周期是受到了限制；一旦被發(fā)現(xiàn)并被網(wǎng)站的所有者修復(fù)，它們就灰飛煙滅了。”

但Fernandez和Grossman都指出，近來發(fā)生的大量攻擊都利用了主要網(wǎng)站中的XSS漏洞,這些網(wǎng)站包括MySpace、 Paypal和一些主要的意大利銀行。

Grossman 說，“我們是否擔(dān)心跨站腳本攻擊問題呢？是的，不過不是因為這些主要的安全廠商在其網(wǎng)站上存在著XSS漏洞，Symantec 和 McAfee確實在Web應(yīng)用程序安全方面并不太擅長—它們主要關(guān)注反病毒和反惡意軟件�！�

Grossman 說，“主要應(yīng)當(dāng)擔(dān)心那些更受歡迎的站點和電子商務(wù)站點，如銀行、信用聯(lián)盟、社交網(wǎng)絡(luò)、網(wǎng)店等。這是企業(yè)和用戶會發(fā)生最大損失的地方，而這里也正是那些不良分子別有用心的地方。”

標(biāo)簽： 安全 電子商務(wù) 服務(wù)器 腳本 漏洞 媒體 數(shù)據(jù)庫 搜索 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。