恆逸資訊網站存在XSS安全漏洞
2008 年 04 月 28 日 – 15:34:04恆逸資訊網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
恆逸資訊首頁:
測試語法,如下圖所示:
測試結果,如下圖所示:
“恆逸資訊網站存在XSS安全漏洞” 目前有 34 迴響
最近好多電腦補習班都有洞阿…@@~
自己的系統都弄不安全了!
甚至連修正漏洞的方式都有點莫名其妙,
洞也補不起來…= =
要怎麼教學生注重資安阿…Orz
By Roamer on 2008 年 04 月 28 日 - 22:59:11
還是去資策會上課較安全囉
By yoir on 2008 年 04 月 28 日 - 23:12:10
雖然看到這則事件有點錯愕,但我猜測恒逸的老師應該不負責架設網站或測試網站的安全性吧。
By 山豬 on 2008 年 04 月 28 日 - 23:39:08
我個人看法,既然是教別人資訊安全知識,就應該要試試自家的網站看看,免得被別人發現,壞了自己商譽。另外,理論與實際情形有時候差別蠻大的,所以,有時間的話,還是試試看比較好。
By Roger on 2008 年 04 月 28 日 - 23:48:14
恆逸號稱點腦補教界第一把交椅,徹底的不把資策會看在眼裡.公司內不乏多人擁有CISSP與系統,網路設備等資安證照的講師,雖仁本身可能不負責第一線的資安(第一線資安如proxy等server應該是教授Linux的講師所負責的吧?),但自恃大力推廣資訊安全卻沒有從自己本身做起,實在是滿丟臉的.
By tomatodog on 2008 年 04 月 29 日 - 09:05:21
恆逸這網站沒有什麼重要資料好洩漏的, 無所謂吧, 大驚小怪
By Tsai on 2008 年 04 月 29 日 - 13:53:32
問題不在於有沒有東西可以竊取。如果攻擊者可以將測試語法改成惡意連結或釣魚網址的話,受害者以為經過特別製作的連結是恆逸的網址而點擊它(前半部網址是恆逸所屬,受害者以為是恆逸所寄出,而相信它),然後,電腦因而中毒,然後,資料被偷、錢財被詐,那您說恆逸到底有沒有責任呢?
By Roger on 2008 年 04 月 29 日 - 14:16:17
偽造edm發送,裡面再透過網站的XSS漏洞插入一段惡意連結,誘使使用者上當,這算是很簡單且常見的攻擊手法了,Tsai大大覺得這樣也無所謂嗎…XD
再來,假設該網站今天還有其他嚴重的漏洞,即使網站沒有重要資訊好洩漏的,但也是有可能被植入惡意程式或惡意連結,甚至修改網頁內容或拿來當肉雞或中繼站使用…etc;更何況閣下如何能夠確定該網站沒有什麼重要資料或未共用資料庫呢?
By Roamer on 2008 年 04 月 29 日 - 15:13:36
現在連 yahoo信箱首頁都有人仿冒了
所以 yahoo才要推一個什麼安全印章
如果有心人要利用,也可以做一個和各大網站很像的首頁
就騙你的帳號密碼
只要有心,什麼都做的到,只要自己連網站笨,什麼事都可能
發生
By 路人 on 2008 年 04 月 29 日 - 15:55:08
如Roger所說, 那恆逸才是真正的受害者, 要負什麼責?
By 路人乙 on 2008 年 04 月 29 日 - 15:59:12
聯成電腦網站存在XSS安全漏洞
http://rogerspeaking.com/2008/04/765
大家卯起來抓所有看得到的網站吧, 做掃駭義工
By Alex on 2008 年 04 月 29 日 - 16:05:03
恆逸要負什麼責任呢?由於網站存在XSS漏洞,攻擊者利用此漏洞製作一個精心設計的網址(包含恆逸網址),受害者相信這是恆逸所提供的網址,而點擊它,導致受害者中毒或損失財物等情形,所以,恆逸要賠償受害者的損失。
By Roger on 2008 年 04 月 29 日 - 21:40:11
不過,這事還沒發生,頂多搜尋工作先關掉罷了,其實這種用 asp的網站,也十幾年了,用新的 asp .net就沒事了,公司的首頁,還是就 htm最安全了,不要讓使用者輸入任何資料,平常使用者沒事就去打球,少上網最好了….
By Duex on 2008 年 04 月 29 日 - 23:01:14
恆逸應該要請Roger大大去當顧問才不會丟臉啦!
By yusu on 2008 年 04 月 30 日 - 00:26:43
對於要負的責任,我倒是持不同的看法!
目前現行的法律對於資訊安全的規範太過於薄弱,一般網站的安全也不像網路銀行一般還有受到消保法的規範,所以當受害者因為某些網站的疏失而造成損失時,很難去作舉證的動作;而對於透過XSS漏洞進行的間接攻擊,在舉證上更加困難,所以要追究是透過哪個網站的疏失造成的,在實務上是有其難度的,再加上一般使用者根本沒有能力去作舉證的動作!所以假設今天使用者因為恆逸的XSS漏洞而受害,仍是很難去追到恆逸這邊的,即使證明了恆逸有XSS漏洞,要證明是因為恆逸的網站弱點導致使用者蒙受損失也是十分困難的!更別提賠償責任的部分了!
所以在法律,恆逸可能很難被追究;但這並不表示可以放著漏洞不管,恆逸仍須負起企業的責任與道義,否則對其商譽以及客戶信任度等都會造成影響!所以針對XSS漏洞,個人認為目前較有力的約束仍侷限在企業責任與道義!
另一個有趣的反面思考,由於法律規範的不周全,所以測試網站的XSS漏洞是否會觸法呢?似乎也很難證明犯罪動機,加上測試XSS漏洞並不會直接存取到內部機敏資訊,也不會修改到網站檔案、程式或DB,所以測試網站XSS漏洞是否合法,一樣是在灰色地帶!
所以完善資安法規的建立,是很重要的,除了要保護業主外,更需要保障使用者的隱私與安全!
另外回覆Duex,沒曝光不代表沒發生,搜尋引擎被公佈漏洞,也不代表只有搜尋引擎有漏洞!如果網頁程式完全依照asp.net的規範去寫,理論上是比較安全的!但現在很多asp.net的寫法還是依照asp的觀念去撰寫,所以還是常可以見到asp.net網站也被打穿.至於靜態頁面的話,一樣需要考慮到web server是否有漏洞,是否開放不必要的method(Ex:put),還有旁注攻擊法等的威脅!
安全的防護看的是面,而不是單點或單線,一旦掉以輕心,可能就是危機的開始…共勉之…
By Roamer on 2008 年 04 月 30 日 - 01:00:14
沒想到, 還看到有人說恆逸才是受害者, 不用負責的話, 真是有夠官僚心態…sigh
今天, 使用者點進了恆逸的網站(不論主動或被騙), 結果卻因為恆逸網站本身的安全問題(也可說是品質不良), 導致木馬帶進自己的電腦裡. 從受 "駭" 者來看, 是恆逸 "駭" 了受害者的電腦, 當然要先由恆逸負起這個責任. 待抓到真正的犯人(駭客) 之後, 恆逸再向犯人要求賠償.
就算最後凹到沒民事刑事責任, 總還有道義責任吧!
再者, 今天連至恆逸的使用者, 有可能會成為恆逸的消費者, 因為網站的『品質』有問題, 光去逛逛都會惹上一身腥, 從消費者保護法角度來看, 也絕對有權利向恆逸要求賠償的啦!
By 不用負責? on 2008 年 04 月 30 日 - 01:09:28
就像有一個人透過郵局寄了一個裡面有炸彈的包裹給另一個人,結果收到的人拆開包裹就被炸死了。
郵局都不是受害者了,恆逸可以免責嗎!
By yusu on 2008 年 04 月 30 日 - 01:20:38
要怪都怪微軟好了…
反正微軟不管怎麼安全,都還不是被攻破?
有任何問題,先找微軟下手吧…
By Neil on 2008 年 04 月 30 日 - 09:43:55
如果恆逸要負責, 意思是說消費者第一個可以告微軟囉?
By 不用負責 on 2008 年 04 月 30 日 - 12:04:37
就像公共場所一樣,遊客可能只是來逛逛,但並未作消費;但這並不表示公共場所不該保障遊客的安全;在現實生活上,公共場所有公共安全法規可以規範,但在網路安全上,現行的法律的確很難有約束的效力!
但前面也提過了!不容易(或無法)入罪並不表示就可以擺爛!今天這些漏洞被公佈出來是好事,表示還有人幫這些單位做免費的檢測,如果是心懷不軌的使用者,可能就直接拿來利用了!
說實話,今天恆逸的確大可以不修復也無所謂,反正沒有有效的法律力量去約束它!但如果該單位就打算這樣擺爛不修,我會唾棄它,因為缺乏企業責任與道義!(當然對該單位也許根本就不痛不癢…:p)
By Roamer on 2008 年 04 月 30 日 - 12:11:58
忘了補充…
因為資安法律的不完備,目前判例上很多都還是有點自由心證!所以需不需負責,能不能入罪!仍有爭議…還是別心存僥倖的好阿…:)
By Roamer on 2008 年 04 月 30 日 - 12:16:04
奇怪, 測試結果, 恆逸網站沒這個漏洞了啊, 怎麼還有這麼多人在討論, 有幫恆逸打廣告的嫌疑!!
By 莫非是廣告 on 2008 年 04 月 30 日 - 13:32:14
恆逸修好了嗎?
剛看了一下…有修正了…
但還是有XSS洞阿…
修正方式很奇怪,
而且也沒防掉…
只過濾掉某個奇怪東西是不夠的~
(暫不公開內容,避免遭誤用…)
恆逸維護人員如果看到這篇回應,
跟我聯絡一下吧!
或是去爬我之前的其他文章的回應,
相信會比土法煉鋼來得有效!
By Roamer on 2008 年 04 月 30 日 - 14:06:52
恒逸的維護人員要修要真用心,不要純粹在應付..不然很難看
我沒像Roamer保守不得罪人…依Roamer的方法,IFRAME這個"二面刀刃"都可以插入…用點心為瀏覽者著想…
By 天罣 on 2008 年 04 月 30 日 - 15:23:21
資策會的教育網,也是中毒的常客。
有紀錄可循,去 search 吧。
資策會現在也只有嘴砲強,實際技術…
By 阿吉 on 2008 年 05 月 1 日 - 04:58:50
說起現在資策會內部的師資(外聘的除外),只有2個字:很爛!照本宣科,缺乏實務經驗,本身空有一堆paper license,面對問題確不知如何處理的大有人在.也難怪乎恆逸的講師從來不把資策會的講師放在眼裡!但不可否認的是,如果您不是唸資訊相關科系的人或是轉行跨領域到資訊業的人,資策會的確是一個價錢便宜而且上完課又可以騙吃騙喝的補習班.
By tomatodog on 2008 年 05 月 1 日 - 13:36:55
沒辦法,台灣業者很厲害,哪裡有錢賺,就往那裡走,但商場上就是這個樣子,我並沒有意見。
By Roger on 2008 年 05 月 1 日 - 15:58:38
回阿吉:
深有同感,哀哀哀的人(尤其是長官)整天不做是,婊人第一名,希望政府趕快派有能力的執行長來整頓一下
By 深有同感 on 2008 年 05 月 1 日 - 16:43:48
樓上的大大二位安:
我們在做的是對"事",針對企業網站的處理態度,儘量不要流於口水或對"人"攻擊….那不是我們要做的事(雖然很鳥沒錯)
不然大砲很難做人和版面維持….感恩
By 天罣 on 2008 年 05 月 1 日 - 16:58:08
Good Job!!
剛看了一下,這次修得比較好了!
現在可以來討論一下之前的過濾方式了!
第一次修正時,是採用過濾標籤結尾的方式,
這種方式是很傻很天真的,
如果有其他單位也是用這種方式修正的,
建議快改掉阿…
這次的過濾方式就漂亮多了…:)
And,還是就事論事比較好,
如果iii現在有漏洞或被入侵的話,
可以移步到爆料區去爆個料,
到時也許有機會再開一篇來討論iii…^^
By Roamer on 2008 年 05 月 1 日 - 20:26:24
一般 MIS的標準程序,都是先求解決目前問題,再求真的解決,所以我想恆逸這種做法是標準作法,先擋一下,再來檢查…
只可惜被批評在應付…
如果是我,在想不出方法前,會先斷公司的 web server,等好了再開,另外…
這篇扯到講師與公司,就太扯了…誰都知道講師很多都
獨善其身,恆逸不過是他講課的地方,他有義務要修嗎?
說不定他還想跟恆逸收顧問費咧,你太小看講師了…XD
而且我可以告訴你,甚至他們還會在上課時,以恆逸資訊的
例子當資安的範例…這…就是講師
另外,懂資安的講師也不一定全懂入侵方式,像sql的隱碼
攻擊,就算資安的講師,也只能請程式設計師改程式…
By Duex on 2008 年 05 月 1 日 - 21:09:00
套用ISO27001的ISMS概念,應該要以事前應對、系統化及邏輯化的方法來描述資訊安全問題,而非以事後應對、零碎的方法來對應安全破壞!
簡單的來說,該公司的資訊安全管理系統並未有效建立!面對災難應變時的反應也過於零碎缺乏系統!如果今天面對的是真正惡意駭客的攻擊,這樣等於多賞給了對方一次攻擊的機會,這中間差別可不小阿…(話說,怎麼又爆出另一條了…Orz)
By Roamer on 2008 年 05 月 1 日 - 22:08:37
R大最近該不是要開課了吧….^^
By Duex on 2008 年 05 月 1 日 - 22:43:51
Duex大大是說Roger大大嗎?還是小弟?
如果是小弟的話,固定都有在講課阿!不過都只做包班的,沒有公開對外授課就是了!現在正掛在線上思考該如何把最近這些案例整合進明天的課程內容中…:p
By Roamer on 2008 年 05 月 1 日 - 23:30:39