【51CTO.com 獨家報道】今天是2009年3月9日。星期一總是一周里最繁忙的一天。對安全測試工程師來說，也同樣繁忙。不過呢，有位工程師就忙里偷閑，給我們發來國內兩大站點含有跨站漏洞的消息。跨站漏洞能造成什么危害，這個智者見智，仁者見人。

但我們一定要感謝這些安全領域的雷鋒同志，正是由于這些白帽子有道德黑客，才減少了我們網民被攻擊的危險。同時，也希望以下兩大站點的技術人員能看到這篇文章。

圖1

圖2

截止到2009年3月13日，華軍軟件園已將跨站問題修復。

對51CTO網友的答疑：

什么是跨站漏洞？跨站漏洞是由于程序員在編寫程序時對一些變量沒有做充分的過濾，直接把用戶提交的數據送到SQL語句里執行，這樣導致用戶可以提交一些特意構造的語句一般都是帶有像JavaScript等這類腳本代碼。在這基礎上，黑客利用跨站漏洞輸入惡意的腳本代碼，當惡意的代碼被執行后就形成了所謂的跨站攻擊。一般來說對于人機交互比較高的程序，比如論壇，留言板這類程序都比較容易進行跨站攻擊。

利用跨站漏洞黑客可以在網站中插入任意代碼，這些代碼的功能包括獲取網站管理員或普通用戶的cookie，隱蔽運行網頁木馬，甚至格式化瀏覽者的硬盤，只要腳本代碼能夠實現的功能，跨站攻擊都能夠達到。（以上是由51CTO的記者測試alert彈出框代碼，只做演示，并無惡意攻擊行為）

【51CTO.COM 獨家報道，轉載請注明出處及作者！】

【編輯推薦】

1. 網站常見攻擊和防范
2. 存儲世界storworld.com被惡意掛馬
3. 新刑法強力震懾 黑客違法可判7年
4. MSN中國官網昨日被掛馬 2009或成駭客盛年