框架注入

框架注入攻击是针对Internet Explorer 5、Internet Explorer 6、与 Internet Explorer 7攻击的一种。

简介在许多浏览器中，如果一个Web站点创建一个命名框架，那么相同浏览器进程打开的任何窗口都允许写这个框架的内容，即使它的内容已由另一个Web站点发布。框架注入漏洞即源于上述事实，它是一种相对简单的漏洞。1

大多数最新版本的浏览器已经修改了与命名框架有关的行为，默认情况下，它们扩大同源策略的应用范围：如果一个域已经发布某个框架的内容，则禁止其他Web站点写该框架的内容。随着用户逐渐升级到最新的浏览器，这种类型的漏洞也会随之消失。

特点框架注入攻击导致Internet Explorer不检查结果框架的目的网站，因而允许任意代码像Javascript或者VBScript跨框架存取。这种攻击也发生在代码透过多框架注入，肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂牌浏览器和脚本。

攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎，就有可能浏览该标记，却意识不到自己会离开原始站点而进入恶意的站点。之后，攻击者便可以诱导用户再次登录，然后获取其登录凭证。

如果框架标记使用命名框架，但框架名称含义非常模糊或完全随机，就可从不同的浏览器访问应用程序，并检查框架名称是否发生变化。如果框架名称发生变化并且攻击者无法预测其他用户的框架名称，那么应用程序可能不易受到攻击。

注入攻击注入攻击指一种攻击手段，黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。一个恶意黑客(也被称为破裂者cracker)可以利用这种攻击方法来非法获取数据或者网络资源。当用户进入一个有命令注入漏洞的网页时，他们的浏览器会通译那个代码，而这样就可能会导致恶意命令掌控该用户的电脑和他们的网络。2

命令注入攻击最初被称为Shell命令注入攻击，是由挪威一名程序员在1997年意外发现的。第一个命令注入攻击程序能随意地从一个网站删除网页，就像从磁盘或者硬盘移除文件一样简单。

本词条内容贡献者为:

李航 - 副教授 - 西南大学