2007十大Web安全漏洞 跨站脚本攻击XSS居首

开放Web软件安全计划(Open Web Application Security Project,OWASP)台湾分会今发表2007十大Web安全漏洞，年初曾发生在知名文件阅读器Adobe Acrobat Reader上的跨站脚本攻击(Cross Site Scripting,XSS)居首位。

而上周疑似使微软英国网站被骇的隐码攻击(Injection Flaw，包括SQL Injection及Command Injection)居次，第三位则是Web应用程序引入外部恶意程序的恶意文件执行攻击(Malicious File Execution)。

OWASP台湾分会主席黄耀文在新闻稿中表示，该安全漏洞报告乃经由OWASP的资深安全专家，依Web安全弱点的严重性、与是否易于被黑客采用等依据所选出，作为网站开发人员开发时的安全参考。

在Web 2.0流行风潮下，新的网页应用程序开发与相关技术(如AJAX)的应用，成为网站欲出奇致胜的重点，但在网站经营者争相提供创新网页服务的情况下，网页应用程序的安全性也成为新的问题。

趋势科技台湾技术顾问简胜财便指出，包括跨站脚本攻击与数据隐码攻击等上榜漏洞，多半都是因网页应用程序写作不当，才产生让黑客得以入侵的漏洞。