摘要:近日,社区软件系统Discuz被曝出安全隐患,其DiscuzX2被指含有两个零日漏洞:SQL及XSS注入漏洞。 |
但此次曝出的两个漏洞危害性都很大。其中基于xsrf的SQL注入技术,通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击;
而XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。
利用XSS漏洞,攻击者可以实现网站挂马、网站钓鱼、CSRF攻击等进一步攻击行为。
责任编辑:Lily