息的浏览器上会运行来自特定网站的恶意JAVA脚本代码。Yamanner蠕虫就是一个最近的范例,它利用Yahoo邮件的AJAX调用中的跨站点脚本机会来攻击受害者。另一个近期的范例就是Samy蠕虫,它利用MySpace.com的跨站点脚本漏洞来攻击。AJAX在客户端上运行,它允许错误书写的脚本被攻击者利用。攻击者能够编写恶意链接来哄骗那些没有准备的用户,让他们用浏览器去访问特定的网页。传统应用中也存在这样的弱点,但AJAX给它添加了更多可能的漏洞。
2.XML中毒
很多Web2.0应用中,XML传输在服务器和浏览器之间往复。网络应用接收来自AJAX客户端的XML块。这XML块很可能染毒。多次将递归负载应用到产出相似的XML节点,这样的技术还并不普遍。如果机器的处理能力较弱,这将导致服务器拒绝服务。很多攻击者还制作结构错误的XML文档,这些文档会扰乱服务器上所使用的依赖剖析机制的逻辑。服务器端的剖析机制有两种类型,它们是SAX和DOM。网络服务也使用相同页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
