第9章 Web蠕虫

我们知道,一提到Web蠕虫,很多人的脑海里就会想到PC上的蠕虫,虽然这两种蠕虫所处的环境不一样,但它们具有许多相似的性质,比如传播性、感染性、病毒恶意行为等。对大众来说,很多观念与印象都还停留在PC蠕虫上,Web蠕虫到底是什么呢?看看下面的描述就会知道。

在Web 2.0网站横行的互联网世界,一个非常重要的因素是用户参与,这个特性决定了Web 2.0与Web 1.0的重大区别。而由此特性衍生出了Web 2.0网站特有的一些安全问题,其中就有Web蠕虫风险。蠕虫的一个特性就是传播性,对于Web蠕虫来说,传播的媒介就是Web 2.0网站的浏览器客户端,而传播的基石则是广大用户。

第1章描述了浏览器的安全策略,一般情况下,除非遭遇浏览器漏洞,否则Web蠕虫传播不会脱离出浏览器平台,这对操作系统安全研究的人来说,危害似乎就不大了,他们可能会这样想:“危害没到操作系统层面,一切都没影响!”这样的观念是具有极大偏见的。

本章会对Web蠕虫的主要三类(XSS蠕虫、CSRF蠕虫、Clickjacking蠕虫)进行详细剖析。