脚本攻击威胁不断
现在的 浏览器安全 性已经得到了明显的提高,但是当讨论影响用户的安全威胁问题时,跨站脚本攻击依然高居榜首。
我们注意到,浏览器供应商已经开始通过向浏览器建立更多保护来解决浏览器安全问题,例如,微软公司在其IE8浏览器中就增加了跨站脚本过滤器,这种技术面临的挑战就是使Web应用程序接受复杂的HTML输入同时阻止恶意脚本。
现在,位于美国伊力诺依州的两名研究人员正在考虑采用新的方式通过减少对不可靠web浏览器解析器上的web应用程序的依赖来加强浏览器的保护。
在美国加州奥克兰召开的IEEE安全与隐私研讨会上,这两名研究人员Mike TerLouw和V.N.Venkatakrishnan提出了抵御跨站脚本攻击的新方法,被称为BluePrint。
作为插入web应用程序与浏览器之间的软件层,BluePrint使用安全的HTML元素的白名单来确定和移除不可信的内容。为了避免潜在的脚本注入攻击,白名单内容在浏览器中被非常小心的传输和复制。
在一份文件中,这两名研究人员表示,目前的web浏览器并不能进行可信的脚本识别(不能识别涉及可疑HTML的内容),因为浏览器的不可信的解析功能。出于这个原因,两人设计了BluePrint从根本上对解析进行控制。
“在应用程序 服务器 上,解析树是从不可信的HTML生成的,需要采取必要的预防措施来确保解析树中没有动态内容(如脚本)节点,”研究人员表示,“在客户端浏览器中,生成的解析树被传给浏览器的文件生成器,没有采取不可信路径,但却涉及不可靠的浏览器解析行为。”
他们表示,“这两个步骤能够确保浏览器生成的不可信内容符合web应用程序对该内容的理解,生成的文件能够反映出应用程序的意图,不可信内容不包含脚本内容,因此所有的未经授权的脚本执行都被制止。”
研究人员在Google Chrome、Firefox2和3、Opera9.6、Safari3.1和3.2以及IE6和IE7中测试了他们的软件,从原则上说,BluePrint能够与目前所有支持t的浏览器兼容,Venkatakrishnan表示。
“我们使用BluePrint将大规模应用程序(如MediaWiki和WoRDPress)进行转换,测试结果表明对查看BluePrint转换网页的用户几乎没有实际影响,”他表示,“BluePrint没有修改任何可信赖的内容,如果网页包含动态可信任内容,BluePrint将不会影响这些网页。”
浏览器的讨论中跨站脚本攻击的分析就为大家介绍完了,希望大家已经掌握和理解了。
【编辑推荐】
jsp 如何 xss 防范
1、antisamy插件防止XSS跨站脚本攻击,很简单,很方便,建议参考。 2、写一个Filter,对产生跨站的关键字进行过滤。
IE脚本错误
建议您尝试进行以下操作: 1、清除一下IE浏览器的缓存,点IE上的工具——然后再选择最下面的Internet选项,再点Internet删除文件(记得勾上删除所有脱机内容),确定后再重新打开IE浏览器试试,同时请确认您使用的是IE6.0及以上版本。 2、您的网页上清缓存,在网页上选择工具->Interner选项->删除Cookies和删除文件,然后再确定。 3、请您点击IE浏览器中的“工具”,选择“internet选项”,进入“安全”页面,点击“自定义级别”,将您的安全设置设为“低”。 4、清空一下IE浏览器的cookies文件,在IE浏览器中设置“禁止自动脚本更新”,并不要选择“禁止运行ActiveX控件”,然后再尝试操作。 IE中的脚本错误 某个网页可能会无法正常显示或工作,您可能会收到一条类似于以下之一的错误消息: 该网页上的问题可能使其无法正常显示或功能不正常。 以后,双击显示在状态栏中的警告图标,就可以显示上述消息。 如果您单击“显示详细信息”,则会显示类似于下面的错误详细信息: Line:4 Char:1 Error:Object doesn’t support this property or method. Code:0 URL:A Runtime Error has occured. Do you wish to Debug? Line:4 Error:Object doesn’t support this property or method. 下面的警告消息也可能出现在 Microsoft Internet Explorer“状态”栏中: 已完毕,但网页上有错误 出现此问题是因为该网页的 HTML 源代码不能使用客户端脚本(如 Microsoft JScript 或 Visual basic 脚本)正确工作。 发生此问题可能是因为以下原因之一: • 网页的 HTML 源代码中有问题。 • 您的计算机或网络上阻止了活动脚本、ActiveX 控件或 Java 小程序。 Internet Explorer 或另外一种程序(如防病毒程序或防火墙)可以配置为阻止活动脚本、ActiveX 控件或 Java 小程序 • 防病毒软件配置为扫描您的“临时 Internet 文件”或“已下载的程序文件”文件夹。 • 您计算机上的脚本引擎损坏或过时。 • 您计算机上的 Internet 相关文件夹损坏。 • 您的视频卡驱动程序已损坏或者已过时。 • 您计算机上的 DirectX 组件损坏或过时。 注意:服务器端脚本 -- 如 Active Server pages (ASp) 中的 Visual basic 脚本 -- 运行在 Web 服务器上。 因服务器端脚本故障而发生的脚本错误不在 Internet Explorer 中生成错误消息,但也可能会创建一个不能正确显示或工作的网页。 本文中的故障排除信息适用于服务器端脚本错误。 如果您怀疑服务器端脚本有问题,请与 Web 服务器的管理员联系。 解决方案 使用本文中的故障排除方法时要按它们出现的顺序进行。 在您完成一个故障排除部分后,请进行测试以确定是否仍发生此脚本错误。 如果问题已解决,则不必继续下一部分。 如果问题未解决,则继续执行下一部分。 从另一个用户帐户、另一个浏览器和另一台计算机测试网页 如果问题只在您查看一个或两个网页时发生,则从另一个用户帐户、另一个浏览器或另一台计算机查看这些网页,以确定问题是否依然存在。 如果脚本错误依然存在,则可能是网页的编写有问题。 请与网站管理员或内容开发者联系,告诉他们网页存在的问题。 如果从另一个用户帐户使用网页时脚本错误未发生,则问题可能是您的用户配置文件的文件或设置造成的。 如果在从另一个浏览器或另一台计算机使用网页时脚本错误未发生,则继续进行故障排除操作。 确认活动脚本、ActiveX 和 Java 未被阻止 确认您计算机上的 Internet Explorer 或另外一种程序(如防病毒程序或防火墙)未配置为阻止活动脚本、ActiveX 控件或 Java 小程序。 在 Internet Explorer 的“高”安全级别,活动脚本、ActiveX 控件和 Java 小程序被关闭。 默认情况下,Internet Explorer 6 和某些 Internet Explorer 5.x 版本针对受限站点区域使用“高”安全级别。 默认情况下,Microsoft Windows Server 2003 针对受限站点区域和 Internet 区域使用“高”安全级别。 如要为当前网页重置 Internet Explorer 安全设置,请按照下列步骤操作:1. 启动 Internet Explorer。 2. 在“工具”菜单上,单击“Internet 选项”。 3. 在“Internet 选项”对话框中,单击“安全”。 4. 单击“默认级别”。 5. 单击“确定”。 请参见您使用的防病毒程序或防火墙的文档资料,以确定如何打开脚本、ActiveX 和 Java 小程序。 确认您的防病毒程序未设置为扫描“临时 Internet 文件”或“已下载的程序文件”文件夹 请参见您使用的防病毒程序的文档资料,以确定如何防止该程序扫描“临时 Internet 文件”或“已下载的程序文件”文件夹。 删除所有临时的 Internet 相关文件 从您的计算机中删除所有临时的 Internet 相关文件。 为此,请按照下列步骤操作:1. 启动 Internet Explorer。 2. 在“工具”菜单上,单击“Internet 选项”。 3. 单击“常规”选项卡。 4. 在“Internet 临时文件”下,单击“设置”。 5. 单击“删除文件”。 6. 单击“确定”。 7. 单击“删除 Cookies”。 8. 单击“确定”。 9. 在“历史记录”下,单击“清除历史记录”,然后单击“是”。 10. 单击“确定” 或者重新安装~~~~~~~~~~~~~~~~~~~~~~~`
hao123被篡改为怎样把hao123设为主页啊
IE首页被强行“篡改”、“挟持”,这是上网用户经常碰到的问题。 其背后的罪魁祸首是电脑病毒和流氓软件。
IE是电脑用户最常使用的网页浏览器,但正因为普及率高,其也成为了最容易受到黑客、病毒以及流氓软件攻击的对象。 最常见的IE首页被篡改的现象是默认页被修改成了自己不熟悉的主页网址,每当用户开启IE浏览器时,这个主页就会主动跳出来。
方法一:修改IE工具栏
在正常情况下,IE首页的修改可以通过IE工具栏里的“工具”-“Internet选项”-“常规”-“主页”功能模块来实现。
在弹出的窗口里,用户只要在“可更改主页”的地址栏中输入自己经常使用的网址然后再点击下面的“使用当前页”按钮就可以将其设为自己的IE首页了;如果是点击了“使用默认页”则一般会使IE首页调整为微软中国公司的主页;至于“使用空白页”选项则是让IE首页显示为“blank”字样的空白页,便于用户输入网址。
方法二:修改注册表
但是,很多情况下,由于受了恶意程序的控制,进入“IE工具栏”也无法再把其改回来。 有时候,“可更改主页”的地址栏也变成了灰色,无法再进行调整;有时候,即使你把网址改回来了,再开启IE浏览器,那个恶意网址又跑回来了。
这种情况下我们应该怎么办呢?最通常的办法是找到相应的注册表文件,把它改回来。
以IE首页的注册表文件修改为例,我们首先要启动Windows的注册表编辑器,具体方法是点击Windows界面左下角的“开始”按钮,再选择“运行”,在弹出的对话框中输入“regedit”就可以进入注册表编辑器了。
IE首页的注册表文件是放在HKey_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page下的,而这个子键的键值就是IE首页的网址。 以笔者的电脑为例,键值是,它是可以修改的,用户可以改为自己常用的网址,或是改为“about:blank”,即空白页。 这样,你重启IE就可以看到效果了。
如果这种方法也不能奏效,那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序,就算你通过修改注册表恢复了IE首页,但是你一重新启动电脑,这个程序就会自动运行再次篡改。
这时候,我们需要对注册表文件进行更多的修改,运行“regedit”,然后依次展开HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run主键,然后将其下的子键删除,然后删除自运行程序c:/Program Files/,最后从IE选项中重新设置起始页就好了。
除了上面的情况外,有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。 对于这种情况,我们同样可以通过修改注册表来解决,运行“regedit”展开HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL子键,然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
方法三:使用IE修复软件
虽然修改注册表的方法十分有效,但是对于一般的电脑用户来说较为专业,而且编辑过程中也涉及到了比较多的英语。 因此,我们在这里介绍大家使用一些专门的修复工具。
一般来说,IE修复工具有两大类。 一是商业机构提供的辅助性工具,如瑞星注册表修复工具、3721的上网助手中附带的IE修复专家、超级兔子中的IE修复工具等等,这些软件大多捆绑在商业软件或是工具软件中,有些还需要付费才能够使用。 其特点是,功能强大,建议经济实力较强的用户使用。
其中瑞星的注册表修复工具是可以免费单独下载的,尤其推荐大家使用,其下载网址是。 具体的使用办法可以参考这些软件的帮助文件。
另外一类IE修复软件则主要是技术实力比较强的网友自行编写的,其使用效果和瑞星、IE修复专家、超级兔子等相似,但是需要大家自己搜索下载。
这里向大家推荐两款:一款是IE浏览器修复工具,其下载地址是-。 这个软件的最大特点是功能齐全、界面简洁,而且是个绿色软件,不用安装。 另一款是首页绑架克星-HijackThis,其下载地址是-/。 它能够将绑架您浏览器的程序揪出来,并且将之删除。 不过这个程序是用Visual Basic语言编写的,大家在使用它之前要先安装VB的语言库,相对麻烦一些。
特别提醒
如今,电脑病毒与流氓软件猖獗,用户要保护自己的IE首页不被修改,最好的办法还是防范于未然。 因此,这里要提醒用户给自己的电脑安装杀毒软件。 而且,尽量使用正版的杀毒软件和防火墙工具,因为从网上下载的盗版软件是无法升级的,很快就会对不断推陈出新的病毒束手无策。 (
发表评论