问：行业专家Jeremiah Grossman最近在他的博客上写了一篇有关支点攻击的文章。什么是支点攻击，如何抵御该攻击从而使我们的组织免受其影响呢？

　　答：在一个支点攻击中，攻击者的目标是一台安全防范不到位的主机，这样他/她可以访问这个安全性差的主机，从而进一步利用授予其的访问特权来更加容易地成功攻击另一台安全性较好的主机。

　　在传统的场景里，攻击者会首先扫描组织的对外可访问IP地址，然后把网络中安全性较差部分中的不太安全的Web服务器作为目标，从而进入DMZ区（隔离区）或内部网络，随后就可以攻击存储信用卡或其它敏感信息的数据库了。这类似于在一个大型程序中攻击共享库以便能够在整个程序中注入恶意代码。

　　Jeremiah Grossman指出，在Web 2.0环境中的支点攻击与此类似，但是可能会更危险。在这种情形下，一个Web 2.0站点会存有已被入侵的外部Web站点的内容，这些内容是已经编好的恶意代码（例如Java脚本），最终会攻击受害者的Web浏览器。根据在网络中有多少附属级别，攻击可能来自远离原始Web站点很多链接的某个网站。这些攻击能安装恶意软件、操纵cookie或造成Grossman博客上所列出的各种破坏。

　　为了防范这些类型的攻击，在你的Web站点上尽量少地引用外部的内容，在发布这些内容前进行检查，还有在你的Web站点上自动地跟踪所有的链接并且对它们进行恶意代码的扫描。

　　Jeremiah Grossman指出，保护方法之一是沙箱技术。沙箱技术会限制代码只能访问沙箱里的对象或数据，不能访问Web浏览器可访问的所有对象。这意味着恶意代码只能访问沙箱中的对象，而不是Web浏览器本可访问到的更为广泛的对象。