ezTravel易遊網網站存在XSS安全漏洞
2008 年 05 月 12 日 – 11:24:05ezTravel易遊網網站被發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。(Credit: 天罣)
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
測試語法,如下圖所示:
測試結果,如下圖所示:
“ezTravel易遊網網站存在XSS安全漏洞” 目前有 8 迴響
我看它是沒救了….
現在時間是13-05-2008…也沒見有動作….這樣的網站?
By 天罣 on 2008 年 05 月 13 日 - 22:19:39
為什麼講話都要這麼帶刺,可否理性一點。
討論時請注意發表的言論是否會導致其他人的不悅
請參考 Ubuntu 行為規範 :
http://www.ubuntu.org.tw/modules/tinyd0/index.php?id=4
By eruy on 2008 年 05 月 14 日 - 01:01:41
支持 eruy !!
By 平平 on 2008 年 05 月 14 日 - 01:06:43
我們不一定永遠能同意彼此的意見,但「持有不同看法」並不是用來解釋某些差勁甚至失禮行為的藉口。
一個讓人們感覺不舒服或是被威脅的社群,絕對不會是有生產力的社群。
寫得真好
By 平平 on 2008 年 05 月 14 日 - 01:15:29
我接受你們的說法…對不起..各位
By 天罣 on 2008 年 05 月 14 日 - 04:40:33
我不曉得你們是不是同一個人,但你們的IP都一樣,如果是同一個人,就光明政大一點,本站是不會因為言論不同而刪除留言。
行為規範是一個很理想的東西,就跟法律一樣,你是不是會遵守,就看你自己了。
By Roger on 2008 年 05 月 14 日 - 08:03:20
我覺得有時候只是一時的口誤,作者或者留言者感嘆存在這麼多問題!
畢竟作者跟反應者也是希望大家有個美好的安全使用環境.
希望大家可以體會他們的苦心,因為他們提供了很多安全資訊給大家!
加油!
德不孤,必有鄰
By mini on 2008 年 05 月 14 日 - 11:09:18
1.關於行為規範我同意也認同那樣的主張:但基於把台灣當成是一個社群時,在社群中有著具明顯而深蔵危險的網站經公佈後未做任何改善或只修改被人發現的部份,這樣的行為規範對它有用嗎?於此失言我承認錯誤,但我仍不改我初衷,只會對這樣的網站有別的刺激方法運行…以確保無辜的瀏覽者在踩中地雷前能停止瀏覽
2.行為規範是好事;
有機會或許真該去找個機會樓上的平姐&eruy去跟貪污舞弊的說行為規範
有機會或許真該去找個機會樓上的平姐&eruy去跟詐騙集團的說行為規範
有機會或許真該去找個機會樓上的平姐&eruy去跟那些有惡意程式的網站管理員或駭客說行為規範
有機會或許真該去找個機會樓上的平姐&eruy去跟使用ddos攻擊的人說行為規範
我相信在平姐的規勸下台灣會更好……
至於我!..妳就放棄吧!因為我有了我的行為規範
網路客源要維持,網路生意要繼續,若提供一個讓瀏覽者不安全的瀏覽環境,客源&生意?…..平姐&eruy妳認為還會有客源&生意嗎?
我的行為規範在告訴我一件事:我是不是不該有』寧願關起門來猛打,也不要上了國際版』的想法,是的,不要在大砲裡爆了,應該去xssed國際化!
By 天罣 on 2008 年 05 月 14 日 - 13:52:36