Html标签带来的安全隐患
作者:lyjier 日期:2006-11-13
WWW服务是因特网上最重要的服务之一,提供给客户各种各样的信息资源,而把这种信息资源组织起来的一个很重要的东西就是Html超文本语言,然后经过应用的发展就出现了其他的如UBB等标签但是最终都是以Html代码来实现的。经过研究发现,即使是最安全的安全代码(已经排除了通常所说的Xss漏洞)也无法避免另外一种恼人的攻击方式,配合不严格的程序,可能被人利用产生更大的威胁。
我们就以现在广泛存在于论坛,文章系统,Blog系统等脚本程序中的[img]标签也就是转化后的<img>标签举例来说明这个被忽视的安全问题吧!首先我来谈谈自己对这个标签以及浏览器对这个标签的处理过程。首先看看下面这个UBB代码:[IMG]http://www.cnbct.org/loveshell.jpg[/IMG],然后通过脚本程序的转换成为了<img src=http://www.cnbct.org/loveshell.jpg>。<img>标签
是在当前的页面嵌入一个图片,现在的论坛程序在发帖子以及个人头像那里都有这个功能,当浏览器遇到这个Html标记的时候就会根据src的地址,这里是http://www.cnbct.org/loveshell.jpg去寻找网络资源,当找到这个图片的时候就会访问并且下载这个资源然后在本地进行解析,在浏览器里显示出这个图片,如果找不到这个资源就会显示一个红叉表示出错了。这里http://www.cnbct.org/loveshell.jpg是个很正常的图
我们就以现在广泛存在于论坛,文章系统,Blog系统等脚本程序中的[img]标签也就是转化后的<img>标签举例来说明这个被忽视的安全问题吧!首先我来谈谈自己对这个标签以及浏览器对这个标签的处理过程。首先看看下面这个UBB代码:[IMG]http://www.cnbct.org/loveshell.jpg[/IMG],然后通过脚本程序的转换成为了<img src=http://www.cnbct.org/loveshell.jpg>。<img>标签
是在当前的页面嵌入一个图片,现在的论坛程序在发帖子以及个人头像那里都有这个功能,当浏览器遇到这个Html标记的时候就会根据src的地址,这里是http://www.cnbct.org/loveshell.jpg去寻找网络资源,当找到这个图片的时候就会访问并且下载这个资源然后在本地进行解析,在浏览器里显示出这个图片,如果找不到这个资源就会显示一个红叉表示出错了。这里http://www.cnbct.org/loveshell.jpg是个很正常的图
Tags: 安全 {183}
网络安全小命令
作者:lyjier 日期:2006-10-18
一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。 检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
Web站点安全八要素
作者:ier00 日期:2006-08-15
- 1
