发信人: proac()
整理人: williamlong(1999-12-17 19:12:58), 站内信件
|
两种新发现的攻击手段可以危及互联网上80%网站的安全,使发动攻击的电脑黑客
达到控制该网站服务器的目的。据ChinaByte报道,这两种新发现的攻击手段分别
是“零字节毒药”(PoisonNull)和“上传轰炸”(UploadBombing),据它们的
发现者称,它们可以使许多交互式网站失去作用。这两种攻击手段的工作原理有
所不同,“零字节毒药”可以让电脑黑客看到目录的内容,在某些情况下,还可
以阅读和修改网站服务器上的文件。在“零字节毒药”被正式公布之前,发现它
的电脑黑客“rfp”已经在好几种被广泛使用的PerlCGI脚本上对其进行了测试。
“零字节毒药”的机制较为复杂,它通过把系统命令隐藏在一个“零字节”后面
来躲避CGI安全系统的检查。所谓“零字节”,就是一个CGI脚本无法察觉的数据
包,只有特别编制的程序□能找到它们。
而“上传轰炸”这种攻击手段只会影响到那些鼓励访问者上传文件的网站,包括
接收简历的求职网站,以及鼓励用户上传希望销售商品图片的分类广告网站等。
它所基于的原理是很少有CGI上传程序会去检查一个访问者上传文件的频率。许多
上传程序的编制者大都简单拒绝接收大容量文件,以节约磁盘存储空间。
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.173.14]
|
|