Web应用是一个复杂的数据处理体系,这种复杂性经常导致系统种各种安全问题的产生。字符集攻击就是其中一种非常典型的攻击方式。 这种攻击方式在远东国家的系统里非常普遍,已经开始对web应用程序安全产生了严重的威胁,其本质原因就是在系统体系里各个组件间理解和处理数据的方式不一致,和某些宽字符集的天生缺陷导致的安全问题。 本议题主要介绍在web安全中利用字符集实现攻击的几种形式,通过给出的几种实际环境中的攻击实例,分析了这些问题产生的本质原因和现在的web应用程序里处理字符集问题时经常出现的问题,从而更深入地了解和修正此类安全问题。 作者:剑心 80sec成员之一,国内著名的WEB安全研究员之一,现为Discuz安全审核员。曾发现php,mysql,IE,以及国内外主流WEB程序的漏洞,现研究对WEB应用程序漏洞挖掘,WEB应用程序代码审核,WEB黑盒安全测试,WEB安全架构研究以及客户端WEB安全等等。 点评: 2008 xKungfoo 峰会上的一篇论文PPT