小心跨站脚本蠕虫大闹网易博客

    【IT168 专稿】现今黑客关于XSS的攻击是越来越火了，OWASP这个WEB安全组织已经将XSS列为2007年WEB安全威胁第一位.然而国内网站对这个问题并没有重视起来，几乎所有的大型门户网站都存在这个漏洞，其中关于博客的安全问题尤为严重，国外的MYSPACHE站点曾经发生过这样一个事件，一个叫samy的人利用XSS漏洞写了世界上第一只跨站脚本蠕虫，20小时内就传染了一百万个用户，最后导致MySpace站瘫痪.前车之鉴，如果这些漏洞给黑客利用在博客上，后果将不堪设想！

    以前针对SOHU的BLOG做过测试，确认证明了此类攻击的可行性，最近听说网易的BLOG人气不错，那么我们就来挖掘一下漏洞,类似这种跨站脚本蠕虫首先必须找一个页面通用的地方测试是否能写入XSS，比如SOHU BLOG的个人档案，关于网易我已经找到了一处，就在自定义模块功能，如图1

    下面测试一下构造javascript的字符是否被过滤，如图2     结果全部被过滤，看来已经做了XSS的黑名单，可是没关系，我们可以从白名单入手，也就是在内容里能写入的正常HTML标记里插入javascript,正好此处提供了一个特效字的功能，如图3