聯成電腦網站存在XSS安全漏洞
2008 年 04 月 29 日 – 14:39:42聯成電腦網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
測試語法,如下圖所示:
測試結果,如下圖所示:
“聯成電腦網站存在XSS安全漏洞” 目前有 6 迴響
聯成號稱補教界第一把交椅,徹底的不把恆逸,資策會看在眼裡.公司內不乏多人擁有CISSP與系統,網路設備等資安證照的講師,雖仁本身可能不負責第一線的資安(第一線資安如proxy等server應該是教授Linux的講師所負責的吧?),但自恃大力推廣資訊安全卻沒有從自己本身做起,實在是滿丟臉的.
(稍微改一下別人的字…XD)
By 路人 on 2008 年 04 月 29 日 - 15:50:17
奇怪了, 你一個人到處留的言都一樣, 詞不會改一下喔?沒創意
By 路人 on 2008 年 04 月 29 日 - 15:56:18
剛剛去試了一下,發現已經修正這個漏洞了!不到24小時耶?!真快!?看來大大的義舉真是造福眾多網站,不過聯成的網站系統維護人員動作也是挺快的….
By Albert on 2008 年 04 月 30 日 - 13:05:01
其實不只聯成…edu.uuu.com.tw的網站也改好了
By 路人 on 2008 年 04 月 30 日 - 13:29:05
Albert 你也幫聯成打廣告打的太兇了吧
By AAllbert on 2008 年 04 月 30 日 - 13:34:29
聯成修得還不錯,
至少看不大出來有什麼大問題!
還是該對他們的正面處理與回應給予肯定…:)
By Roamer on 2008 年 04 月 30 日 - 14:08:40