永豐金證券網站存在XSS安全漏洞
2008 年 05 月 11 日 – 10:26:13注意:此文章中之測試語法已修復 (2008/5/12 @ 15:59)
永豐金證券網站被發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。(Credit: 天罣)
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
測試語法,如下圖所示:
測試結果,如下圖所示:
“永豐金證券網站存在XSS安全漏洞” 目前有 9 迴響
本公司已修正, 感謝您的不吝指正.
By 永豐金證券 on 2008 年 05 月 12 日 - 15:59:26
to:永豐金證券
不對喔…永豐金證券…你要不要在自己試試呢!
我剛去測..問題仍在….過濾修件太鬆了
By 天罣 on 2008 年 05 月 12 日 - 17:54:40
呼籲一件事…請不要冒用所發佈的單位名稱來發言,以免橫生枝節,讓該單位陷入更難的窘境
By 天罣 on 2008 年 05 月 12 日 - 18:21:21
沒錯,他們只修復此文章中之測試語法,其他的都沒有檢測。
By Roger on 2008 年 05 月 13 日 - 01:01:46
那是不是應該再加一句『極不保證』但書?
By XSS真好 on 2008 年 05 月 13 日 - 01:23:19
網管有跟我連絡了….他們測錯位置了….努力加油中…
加油!
By 天罣 on 2008 年 05 月 13 日 - 01:38:17
真行….永豐金IT….己補整了
By 天罣 on 2008 年 05 月 13 日 - 12:58:57
有補嗎?
還是看到一堆阿…XD
而且網頁的寫法很怪,
可能有link injection的問題…
By Roamer on 2008 年 05 月 13 日 - 14:01:06
只針對那支問題程式去改的結果, 就是這樣子吧!
By XSS真好 on 2008 年 05 月 13 日 - 14:02:38