注册
登录
| 关键词: 骇客 浏览器 攻击 文件 恶意 一个 网页 安全 Safari 代码 |
【IT专家网独家】2008年的黑客和往年一样繁忙,他们想尽办法寻找攻击最佳网站,浏览器和安全应用程序。本文将为大家带来2009年RSA大会上公布的十大骇客技巧——其中有一些是实际存在的,有些是理论上的。 骇客的花样层出不穷,许多骇客技术对于安全专家来说也存在一些益处。共享这些漏洞信息并不代表着为骇客的恶意攻击大开方便之门,而是借此让安全专家齐头并进为可能出现的攻击建立防御系统,为大家提供民主化的公平竞争。 下面的骇客技术,根据其新颖性,影响和渗透性排名。 GIFAR 这是GIF图像文件与Java Archive的缩写,它包含了用于Java应用程序的类文件。GIFAR允许浏览器以无效图像的方式接收潜在的恶意文件。在web应用程序加载的地方的语境下,它可以允许任意程序代码在受害人的浏览器中执行。 破坏谷歌Gears’ Cross-Origin通信模式 谷歌Gears是一个浏览器扩展,它有助于传进富互联网应用。这样威胁存在于worker代码中——JavaScript可以访问Gears功能,如Local Server,HTTP通信和数据库——平台。Worker加载器无视Gears worker 文件加载的标头文件。这样就为恶意攻击提供了机会,骇客可以将恶意代码种植在目标网站中。 Safari Carpet炸弹 这是安全专家在苹果的Safari网络浏览器中发现的漏洞。当Safari在Windows或OSX的下载目录中运行Safari时,它可以运行流氓网页攻击用户桌面,并将没用的和潜在的恶意文件发送到桌面。这种情况之所以会发生是因为Safari浏览器没有下载资源前需获得用户许可的设定。 Clickjacking 网页中伪造的跨站点请求被认为是对网页的一次性攻击或随机攻击。安全专家发现遭遇这种随机攻击的浏览器却可以获取另一个域名内的数据。Clickjacking,还可以阻挠对于欺骗性点击的防御。 不同的 Opera Opera网络浏览器是跨站点脚本的漏洞。恶意攻击者可以通过经由Opera 浏览器向任意浏览器内容中注入内容。代码注入到了Opera历史记录搜索网页中。 滥用的HTML5结构化的客户端存储 用户访问某一网页的时候,HTML代码保存在客户端浏览器中。如果一个所谓的“会话存储对象”被保存了且没有被删除,该对象将在那里仍然存在几小时甚至数日。它有可能引发数据泄露。目前的Firefox版本,IE和Safari都不能处理不需要的会话存储对象。这意味着我们可能无法删除该对象,甚至都看不到它的存在。 授权CSS网页登录的跨域丢失 这一技巧可以阻挠对于登录用户的安全验证。该攻击依赖于托管了一个来自已知链接的图像的目标网页来实现。该链接仅对授权用户有效。浏览器通常关闭了本地文件系统链接的丢失,但是不能对更广范围的数据起作用。浏览器不奏效时,我们就等于将网络应用程序的防御工事建立在了一堆散沙上。 在SQL注入的HTTP中贯彻TCP 在有效形成的HTTP请求上创建一个TCP可以为网络中数据的存取实现安全加密。如果骇客可以上传Java Server Page,PHP超文本协议或一个服务器上的ASP页面,他就可以连接到服务器后的主机上。 ActiveX的再利用 如果服务器通报了新的软件版本,ActiveX控件会自动升级。通过发起一个假的升级,骇客就会引发客户下载一个可能的恶意文件。 Flash 参数注入 当攻击者有能力访问和控制全球Flash参数时,他就可以成功实施攻击,如通过Flash的跨站点脚本,更改Flash视频流。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
