据Fortify软件公司的产品销售主管Rachwald表示,电脑黑客现在把社区网站看作它们攻击的最好目标。一部分原因是这类网站在设计的时候天真的认为是使用者的动机都很“单纯”,这就意味着网站对攻击的拦截功能实际上非常薄弱,用户极有可能会点击一个指向恶意程序的链接。
Rachwald表示,“一个缓冲区溢出漏洞让黑客可以利用Facebook、MySpace和其它社区网站所使用的Aurigma ActiveX图像上传软件来发起攻击,一个更糟糕的消息是,这种漏洞利用方式正在被嵌入到几个中国网站所提供的黑客工具来使用,这意味着即使是新手也可以发起这类攻击,而不仅仅是那么专业的黑客。”
Rachwald认为,社区网站不能够再把防护仅限于它们自己的安全实践,而必须包含针对它们的内容提供者的行为进行审核。
他表示,“如果Facebook和MySpace在获得这个插件之前要求Aurigma提供代码审核校验,最近的安全问题将有可能会避免发生。”
缓冲区溢出(buffer overflow)攻击小知识
缓冲区溢出(buffer overflow)是一种系统攻击的手段,通过往程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的命令,以达到攻击的目的。根据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。之所以缓冲区溢出可以实现的原因是系统程序没有检测用户输入的参数,也就是没有检测变量的长度是否符合要求。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
查找程序漏洞 阻止缓冲区溢出攻击
什么是缓冲区溢出,它又是如何工作的?如何防范缓冲区溢出攻击?本文通过研究缓冲区溢出的工作机制揭露其如何展开攻击,并介绍了阻止缓冲区溢出攻击的方式……
-
缓冲区溢出防范策略
软件是一种典型的以有效的方式操纵数据的书面形式的产品。这些数据可以是文本,图像,视频或声音;但是,就程序而言,本质上它只是一串数据——通常以字节(8位数据)的形式代表某些意义(例如,颜色或文本字符)。当一个程序员申明一个缓冲区时,非常容易申请一个可能不适合程序后来的指针使用的缓冲区,或者可能会在没有很充分地验证输入时接受超出缓冲区大小的数据。这就涉及到缓冲区溢出的问题,本手册将围绕这一问题展开讲解。
-
是什么导致网络应用中的缓冲区溢出和内存泄露?
我们所说的在网络应用程序中的内存泄漏和缓冲区溢出是什么意思呢?可以用一个例子恰当地说明如何检测它们吗?Michael Cobb专家为我们详细解答了这一相关问题。
-
淹没于缓冲区溢出漏洞
用碰撞时会爆炸的油箱制造汽车可不是一个好主意,所以汽车厂商都不会在他们的产品中使用有这样的部件。软件厂商可以从中汲取教训,并用于解决内部的安全炸弹:缓冲区溢出。