HTML协议有漏洞 网民可能成“枪手”
2001-8-23 13:03:45,阅读次数:
746
新闻内容:
日前,德国的独立编程人员托普夫称,他发现黑客可以利用普通的互联网浏览器在用户不知情的情况下,假他们之手向服务器发动攻击。 托普夫上周在其名为《HTML表格协议攻击》的论文中指出,黑客使用的技术与正常的网页获取用户输入的信息时所使用的技术相同。在正常的网页中,HTML代码将用户提交的信息指向网页所在服务器上运行的应用软件,但黑客可以通过HTML代码将用户提交的资料重新定向到其他的服务器,并指定与电子邮件、聊天、文件传输和新闻组等服务有关的TCP端口。
托普夫表示,这种方法不可能用来发动大规模的进攻,但黑客却可以利用这一方法来传播互联网蠕虫病毒等恶意代码,而且能够隐藏这些恶意代码真正的出处。
在他的论文中,托普夫建议,互联网浏览器软件的作者应该确保他们的软件不会向可能易受攻击的TCP端口提交数据,服务器软件的开发商应该使软件能够有选择地接收用户提交的数据。
他还说,表格协议攻击的成功与否与使用纯文本协议的服务器有关系。托普夫谈到的攻击技巧是使用被称作“multipart/form-data”的表格-提交格式,这一格式使黑客能够建立针对服务器的命令。如果浏览器不创建描述用户输入资料的纯文本内容,黑客就不可能利用这一方法。
托普夫表示,他发现在HTML表格协议攻击中,许多服务器拒绝接受前面的纯文本内容。却接受后面的可能是黑客恶意代码的内容。
他还指出,尽管需要识别易受攻击服务器的地址会限制HTML表格协议攻击的效力,但黑客可以根据普遍使用的标准命名规则来猜测服务器的地址。