臺北市政府教育局網站存在XSS安全漏洞
2008 年 05 月 11 日 – 10:10:32臺北市政府教育局網站被發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。(Credit: 天罣)
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
測試語法,如下圖所示:
測試結果,如下圖所示:
“臺北市政府教育局網站存在XSS安全漏洞” 目前有 3 迴響
已於當日修復並回覆,不知道為何留言訊息未出現?
請協助修訂資訊。謝謝!
臺北市政府教育局維運小組
By SKY on 2008 年 05 月 14 日 - 10:25:19
TO:北市教育局維運小組
1.所回應檢測的部份是對"站內檢索",但仍有其它的頁面有查詢的互動功能,經複試後仍存xss,如:熱門新聞&教育消息
2.post:"><iframe SRC=javascript:alert(‘XSS’)>
By 天罣 on 2008 年 05 月 14 日 - 13:02:57
↑真勇敢,應該很快就被抓走了。
還是是來釣魚的? 釣魚不是不採信的嗎??
By Moi on 2008 年 06 月 18 日 - 19:04:28