科技时代新浪首页 > 科技时代 > 学园 > 病毒与杀毒专区专题 > 正文

黑客利用跨站脚本漏洞攻击Netscape.com


http://www.sina.com.cn 2006年08月01日 09:54 太平洋电脑网
    作者:佚名

  2006年7月26日,Netscape.com成为它与对手Digg.com用户在线争吵的一个牺牲品。后者,Digg.com的在线新闻服务的Fans出于对Digg.com的热爱,采取了一些暴力手段--攻击了Netscape.com,以改变两者之间的一个平衡状态。这次攻击是利用了跨站脚本(XSS)漏洞。黑客攻击成功后,在Netscape.com上放置了一些搞笑的消息:“This site sucks”或者“Hi to all you Digger out there”,并同时将其自动转向Digg.com。黑客在Netscape的所有页面插入了JavaScript代码片段,包括首页。另外,
该攻击被用来插入恶意代码的可能性并不能确定。

  Netscape.com被黑是安全专家们发现的,但是该安全专家没有就该问题公开发布任何更新,同时黑客的身份仍然不清楚。“攻击者是使用XSS漏洞向站点页面中插入他们自己的JavaScript代码片段的,包括首页”反钓鱼式攻击研究者S.G Masood在笔记中写道,“幸运的是,攻击者们尚未在其中插入恶意代码。”

  美国在线的代表解释说该漏洞被利用是因为来自用户的信息提交的不正确过滤。从而导致包含跨战脚本利用程式的信息提交成功地绕过了Netscape.com的安全防御,使攻击得逞。Netscape的批评者们已经谴责它拷贝Digg.com模式的社会新闻站点,该新闻站点自2006年6月开始运营。

发表评论

爱问(iAsk.com)



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有