反黑风暴-第30章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



第四章　邮箱跨站攻击

现在网络上各大门户的免费邮箱非常多，它们都提供了大容量免费的邮箱空间来吸引用户。虽然它们能够方便用户，但其中存在的安全隐患也很多，例如跨站攻击漏洞的频频出现。本节就以常用的免费邮箱为例，介绍它们曾经所暴露出的跨站攻击漏洞。

8。4。1从QQ邮箱看邮件跨站的危害

由于QQ软件在用户中使用非常广泛，而且QQ邮箱的容量大、传输速度快，因此，其自带的QQ邮箱也备受人们的关注。但QQ邮箱中曾报出存在跨站脚本攻击漏洞，对用户的信息的安全性造成了很大的威胁。下面来了解下QQ邮箱跨站漏洞的危害。

1．QQ邮箱跨站传播木马

由于QQ用户非常多，而且QQ邮箱在收到新邮件时，会在QQ上弹出提示，并自动在QQ界面中显示收到新邮件。大部分用户都会单击新邮件提示，直接打开并查看新邮件，这样，若收到的邮件中包含木马信息，用户这样操作就会立即中招。这与一般的邮箱挂马漏洞不同，因为一般的邮箱即使收到了木马邮件，但普通用户可能一个月也难上去收一两次邮件，因此中招几率很小。因此，QQ邮箱挂马漏洞的危害是十分严重的。

QQ邮箱之所以会出现挂马漏洞，是因为QQ邮箱提供了HTML邮件编写功能，同时也没有对跨站代码进行过滤，所以才造成攻击者可以在邮件中写入网页木马挂马代码。

下面来进行一个QQ邮箱挂马漏洞的测试，其具体操作步骤如下：

步骤01打开QQ邮箱，单击左侧的【写信】链接按钮，进入新邮件撰写页面，输入收件人地址。

步骤02在“正文”区域上方的工具栏上单击【文字格式】按钮，显示邮件工具栏按钮。单击工具栏中的【HTML】按钮，将邮件撰写切换到HTML邮件代码编写方式。在其中输入如下代码。



步骤02编写完成后单击【发送】按钮发送邮件，待发送成功后，当接收者在收到该邮件并进行查看时，就可看到测试效果了，在页面中被嵌入了百度网页。

TOM邮箱与126邮箱是一样的，使用同样的代码就可以进行跨站攻击，具体的操作方法这里就不再赘述了。

第五章　跨站脚本攻击的防范

国内不少论坛都存在跨站脚本漏洞，国外也很多这样的例子，比如，Google也曾经出现过。这是因为跨站攻击很容易就可以构造，而且非常隐蔽，不易被查觉。下面将针对跨站攻击方式的相关代码进