年末,谷歌向台用户发布警告,称其网站存在设计缺陷,容易受到第三方供应商的跨站点脚本 (XSS) 攻击。
这不第一次遇到问题
但这些问题通常都来自管理员方面。这是 电报筛查 一个设计缺陷,它会在会话中劫持脚本,从而降低用户体验。
跨站脚本漏洞并非新鲜事,甚至算不上今年最大的数字营销新闻;这类漏洞早在 20 世纪 90 年代就已存在。然而,最近,黑客发现了更新、更隐蔽的利用方法——而且规模不小。
- 2018 年的大部分时间里, Facebook都在努力应对各种 XSS 漏洞和负面宣传,以保护其平台免受数百万处于危险中的用户侵害。
- 2018 年下半年,由于第三方 XSS 漏洞,全球一些最大的平台(包括 Reddit、Amazon Music、Tinder、Pinterest)的 6.85 亿个账户面临被攻陷的风险。
问题出在“iframe busters”上——域名服务器上的 HTML 文件决定了访客如何参与展示广告,从而有效地让广告看起来比封装的 iframe 更大。
如今,网络攻击者已经找到了一种在防火墙中添加任意代码的方法,使网站和访问者面临被入侵的风险。在消费者对网络安全信心低迷、数据完整性问题频频见诸报端的当下,这无疑会严重损害访问者的信任。
在本文中,我们将研究 XSS 攻击,并概述广告商如何自己以及他们的合作伙伴(出版商和供应商)避免攻击。
什么是攻击?
跨站脚本攻击 (XSS) 存在一个内置 它是评估购买工具成 算通过立法或实践来解决这些 本效益的绝佳指标 漏洞,通过在嵌入脚本中插入恶意代码,可使动态 Web 内容遭到操纵。该漏洞通常会影响用于广告的 JavaScript 代码,但也可以注入任何类型的活动代码,例如 ActiveX、Flash 或 VBScript。
利用此编码漏洞
攻击者可以重定向(或误导)网 比特币数据库美国 站访问者、访问 Cookie 或安装恶意软件,造成严重破坏。恶意软件可以劫持用户的整个会话,并将其发送到另一个网站。网站规模越大、互动性越强,黑客可利用的攻击点就越多。