最壞的情況 · XSS 蠕蟲 & 病毒

# 最壞的情況隨著 XSS 病毒和蠕蟲作者增加其復雜程度，它們會開始尋找大多數 Web 瀏覽器可以直接訪問的網站的區域。最流行的網站，包括社區驅動的內容，將繼續成為主要的目標。惡意軟件的編寫者甚至可能開始結合多個網站的漏洞以達到最大效用。但是，也有另一種微妙的目標 - 第三方供應商的插件，包括橫幅廣告，天氣和投票模塊， JavaScript 的 RSS 提要，流量計數器，等等。第三方網站的部件往往包含在使用 JavaScript 的遠程調用的 HTML 代碼里。下面是一個例子（見例 4。）許多網站包括谷歌的 AdSense（參見圖 10）使用 JavaScript。 Example 4. ``` <script type=”text/javascript”> </script> [<script type=”text/javascript” src=” http://pagead2.googlesyndication.com/page](http://pagead2.googlesyndication.com/pagead/)ad/ show_ads.js”> </script> ``` 請注意，SCRIPT 標簽 SRC 屬性和它的值 [http://pagead2.googlesyndication.com/pagead/show_ads.js](http://pagead2.googlesyndication.com/pagead/show_ads.js)。在 JavaScript 代碼中的 SCRIPT 標簽 SRC 屬性的值從遠程位置（谷歌）調用并在頁面加載時，在頁面的上下文內執行。如果“show_ads.js 中”被入侵，并含有一個 XSS 漏洞，使用此代碼的所有網站將受到影響。然后，當用戶訪網頁時，他們會成為像受到 Samy 蠕蟲感染的用戶一樣受到感染，但模規更大。這可以很容易地在任何時刻影響百萬計的用戶。其他如 DoubleClick 的廣告橫幅供應商也同樣如此。管理者應從第三方部件代碼提供商尋求安全保證。 ![image](https://box.kancloud.cn/2016-04-18_571452c4a28a3.jpg) 圖 10,谷歌 AdSense 的截圖（[http://www.google.com/services/adsense_tour/](http://www.google.com/services/adsense_tour/)）