网界网消息 日前,美国政府拨款资助的一家研究机构米特研究所提出警告称,据最新研究表明,跨网站脚本漏洞(cross-site scripting)已经成为比其他漏洞如缓存溢出等更普遍和更严重的问题。
缓存溢出一直是恶意软件在通过各种漏洞发起攻击时最常利用的手段之一,为此,英特尔和AMD公司甚至在硬件上专门开发出了一种名为NX或者XD的防缓存溢出技术。
但是米特研究所发现,这种情况正在悄然发生转变。由于缓存溢出主要针对用C语言编写的可执行文件,跨网站脚本漏洞的增多表明攻击者们开始将眼光放在用Java、.Net和PHP等网络编程语言编写的软件上。
客户端编程语言一般都包括了同源政策,以保证只要网络对象和网页处于相同的域名和网络协议下,它们就可以相互发生作用。恶意网站就是利用跨网站脚本漏洞在这些政策上寻找攻击的突破口,然后窃取其他对象或者浏览器窗口中的敏感数据。