林峰：XSS漏洞的利用成网站主要安全威胁

2013年09月06日   来源： 光明网

　　9月23日，国内知名网络安全专家林峰将亮相“2013年中国互联网安全大会”（isc.360.cn），并在当天的“新兴安全威胁论坛”上做《盲打——新兴的渗透测试技术研究》主题演讲，从xss盲打的主动与被动、渗透的的新技术进行重点剖析，并通过一个完整的基于“XSS盲打平台”下的XSS漏洞，利用场景实现对客户端的深层次攻击的具体过程。

　　林峰专注于安全应急、入侵分析取证和新兴安全威胁的研究。他认为，XSS跨站脚本攻击漏洞由于存在的普遍性和利用的便捷性，是黑客发起钓鱼攻击、窃取用户信息甚至获取站点权限的主要攻击方式，成为网站的主要安全威胁之一。

　　此前XSS漏洞曾引发重大网络安全事故。2011年6月28日晚，新浪微博遭到到了XSS跨站脚本攻击，受影响的微博用户自动向粉丝发送含恶意代码的私信和微博，中招粉丝会再次向自己微博的关注者发送包含恶意代码的私信和微博，短短半小时内就有数以万计的微博用户中招。

　　作为国内规模最大的一次网络安全盛会，“2013年中国互联网安全大会”吸引了Flashsky、alert7、tombkeeper、江海客、蔡晶晶、潘柱廷等等知名“白帽”网络安全专家，以及国际资深网络安全专家詹姆斯 刘易斯、AV-Test反病毒测试公司CEO安德烈亚斯 马克思、中国工程院院士邬贺铨、Gartner公司副总裁彼得 福斯特布鲁克等国内外顶尖网络信息安全专家的参与。

　　本次大会由中国互联网协会和国家互联网应急中心指导、360公司主办，获得网络安全应急技术国家工程实验室、OWASP、Gartner等权威机构支持，将于9月23日-25日在北京国家会议中心召开，即日起可登陆isc.360.cn网站或拨打010-56822615电话了解更多详情。