大砲開講

老兄你就把这东西贴出来来展现你又发现一个网站有漏洞吗，
我感觉可以直接打电话给管理员更方便。
可以话检测一下，把具体方法说一下，
这样也许更好吧

By Ntghi on 2008 年 05 月 20 日 - 23:50:12

我想Roger兄將網址貼出來其目的並不是為了展現或炫耀,大砲開講此網站設立的目的是為了提醒一般大眾[知名網站也不見得安全]的這個觀念.當然有餘力發現安全漏洞後再好意去提醒其管理員是個好方法,但Roger兄也不是沒做過,通知後有改善固然是一件好事,若通知後非但沒改善還被對方撥冷水甚至罵多管閒事的話,任何人不只是Roger兄只要做過幾次以後心就會死掉/冷掉了吧!!每個網站有漏洞要補並非Roger兄的責任,而補不補只在於該網站所屬單位的良心罷了.

By 資安顧問 on 2008 年 05 月 21 日 - 11:58:53

如果作法友善一些，或許較不會遭來責難吧。但是這個網站看久了也覺得很累，就只有嘴砲。

By tony on 2008 年 05 月 22 日 - 00:02:45

一天到晚是 XSS,好像也沒什麼災情傳來….

By Duex on 2008 年 05 月 22 日 - 00:35:54

現在沒災情不代表以後沒事,那天等你電腦中了再來哭說我不知道這個站有問題,你就知道了…唉..

By eose on 2008 年 05 月 22 日 - 09:21:39

看了這麼久,也只是秀出一個 messagebox而以…
要木馬早木馬了,根本是緊張心酸的

By Duex on 2008 年 05 月 22 日 - 20:33:52

不一定要跳訊息框，也可以跳…..嘿嘿，不過樓上那位eose先生，要讓xss發揮最大功效，也要想辦法讓語法自己顯示在網站上，自己手動打語法純粹自嗨，啥也不能做。

By QQ on 2008 年 05 月 22 日 - 23:19:30

只看到跳個google就覺得沒有問題….除了嘆氣還能說什麼呢?
沒有針對所有欄位做檢查代表很可能會因為一時疏忽而忽略掉
這個漏洞，很可能是改版、做新功能、做新頁面的時候…

如果看過千奇百怪的XSS的語法，就不會覺得這個漏洞不怎樣

尤其是BLOG、留言板、線上交易…等等，都是XSS最需要被
注意的地方，尤其是web 2.0當道，這種攻擊更危險

這邊的大大用search功能做測試，已經夠善意了，難道直接
在留言板留個google框變成真正的攻擊嗎?相信網管人員會
更加頭大….在我看來，說那種人家在嘴砲的，才是真正
嘴砲，為資安，到底你貢獻了什麼….

By 重重 on 2008 年 05 月 27 日 - 17:20:37

前面說的測試語法沒有作用，
不知道該公司的網管這樣做算不算真的修好XSS安全漏洞了？

By TestLook on 2008 年 05 月 27 日 - 22:51:14

這算漏洞嗎?? 大砲專家您好, 常常看到您貼這類網站的安全漏洞公佈, 不過實在很好奇, 這樣為什麼算是漏洞, 搜尋引擎把自己打入的資訊echo出來, 沒有存到資料庫, 就算你打的script是轉跳至某惡意網站, 也只會傷害到自己, 別人又看不到.
如果因為搜尋引擎echo您所打入的scipt, 就聯想判定為網站存在安全漏洞, 是否有些看到黑影就開槍的感覺, 還好您這網站不是公司, 不然被那些大公司告你毀謗名譽, 後果將不堪設想. 如果真的認為台電有漏洞, 您應該直接指出有漏洞會傷害他人的部分, 而不是誤導所有信賴您的人.

By 好奇 on 2008 年 05 月 27 日 - 23:25:02

下面這句話正是很多單位, 甚至技術人員認為XSS無害的原因:
>>這算漏洞嗎?? 大砲專家您好, 常常看到您貼這類網站的安全漏洞公佈, 不過實在很好奇, 這樣為什麼算是漏洞, 搜尋引擎把自己打入的資訊echo出來, 沒有存到資料庫, 就算你打的script是轉跳至某惡意網站, 也只會傷害到自己, 別人又看不到.

XSS是否能成功, 依據其為何種類的 XSS 來看:
1.反射型: 網站將使用者輸入具XSS效果的值, 沒有檢查過濾, 就直接echo至回應網頁中.
成功關鍵在於, 使用者是否會受惡意引導, 直接點擊連結, 或輸入造成XSS的內容.
2.預儲型: 具XSS效果的值, 先寫至資料庫中, 之後再從資料庫讀出列至網頁時 (如最新消息、檢視留言等), 沒有檢查過濾XSS內容.
成功關鍵在於, 使用者會不會開啟列出來的網頁.
預儲型XSS, 比起反射型還要難偵測, 也難以預防! 因為可能只是開啟首頁就會中獎! 而且將XSS內容寫至資料庫的途徑, 也不見得只有網頁喔! (grin)

不論是 反射型 或 預儲型, 如果再配合一些小玩意, 會使 XSS 成功機率更高, 如編碼、縮址(你知道原URL是啥?)、網釣…

而最近大規模對台灣網站作SQL Injection攻擊的事件, 其實也應用上了預儲型XSS攻擊 (因為將資料 print to HTML時, 沒有檢查過濾)

大砲發布具XSS問題網站資訊, 是因為不希望使用者因為網站的XSS漏洞而受害/駭.
XSS問題在國外, 早就被討論得相當普遍. 然而, 要能說明XSS的危害, 與其只是 alert(XSS)、秀cookie、iframe src=google 等連騷癢都稱不上, 沒有更實際的Demo, 是很難讓大家了解的. (此類Demo, 只能在資安課程或研討會中進行, 放在網站上講, 反而會讓人有駭客手法教學的感覺 XD)

By XSS一點也不好 on 2008 年 05 月 28 日 - 08:53:29

但是如果不知駭客手法，又如何有能力去防範。所以還是請大砲們分享知識，要不然真的沒法提升資安能力。

By Porui on 2008 年 05 月 28 日 - 09:21:21

與其在這裡一直被動式要人家給東西, 不如主動出擊比較快!
況且提升能力, 又不是只有大砲開講一途…

Google: XSS site:tw

不會去找? 無能為力, 無話可說!

By XSS一點也不好 on 2008 年 05 月 28 日 - 10:35:46

sql injection都有專門在講如何攻擊的文章了
怎麼可能會是駭客教學呢?
真正的結論只有一個….雷聲大,雨點小的 XSS

By Duex on 2008 年 05 月 28 日 - 19:13:35

因為不了解, 才會認為 XSS 雷聲大, 雨點小.
非要客戶因為單位網站 XSS 問題被網釣了、電腦被植木馬了, 才來說: 我們當初認為 XSS, 只是一個『雷聲大, 雨點小』的安全問題?!

不然為何 OWASP 會將 XSS 列為 Top 10 (2007) 的頭號Web安全漏洞?
而Injection類只能排老二?
而現今網路釣魚/詐騙的猖狂, 網站的 XSS 問題, 也是一大因素.

Injection類的攻擊通常會直接打進網站, 或相關資源/資料庫;
可是XSS的攻擊卻不一定要打進網站, 可在網站內容無絲毫改變的情況下, 悄悄地等肥羊進來…

Injection攻擊, 較容易說明, 一打下去就有成果, 甚至工具化;
相較之下, 雖然不是沒有人在講如何作XSS攻擊, 但由於牽涉到 "人" 的參與, 故如何展現其威力, 如何攻擊瀏覽者而不自覺, 通常都較難以展現的…XD
不過有人真有興趣的話, 玩玩看 XSS-Proxy 就知道了, 可體會XSS能駭/害死很多人的…

By XSS一點也不好 on 2008 年 05 月 28 日 - 23:20:01

是不了解，可是又沒人願意講清楚，真是怪怪怪…..

By tony on 2008 年 05 月 29 日 - 00:35:07

>是不了解，可是又沒人願意講清楚，真是怪怪怪…..
如果你不是網管人員，可以原諒….
如果你是網管人員，不自己google，不肯看原文資料，在這
邊哭X不給你資料，那就不可原諒…這不是個駭客站、該找
資料的是你自己，別人給你連結是好心，貼真正的駭客網站
就是在害人了

XSS隨便混合一種攻擊都傷害力驚人(偽裝確認對話框、直
連木馬連結….等等)認為script跟iframe被開放沒什麼的
，根本上就缺乏了看網頁會被植入木馬的警覺性。

XSS讓駭客不用駭機器、不用偷帳號、防火牆沒用、User
中的不知不覺(尤其是知名網站)、甚至是用上SSL加密網頁
也被穿透(因為是照正常管道進入網站的)

越是公眾使用的網站、點閱率越高的blog、留言板、網
路影片…..中招後的傷害就越大….談XSS的文章也都
不是什麼新文章(駭客語法倒是日新月異)，沒這麼難找

By 重重 on 2008 年 05 月 30 日 - 08:12:39

已經很多人推薦過的網址
http://www.owasp.org/index.php/XSS
裡面非常值得一觀的參考網站
http://ha.ckers.org/xss.html

不管是直接script或者iframe、img或任何有src屬性的
(所以可能embed或object也可以?)，有css(style屬性
或者class屬性?)、body的onload等等….只要會自動
讀取的都是xss可能藏入的地方，真的還是不要開放任何
HTML tag給公眾比較好….

By 重重 on 2008 年 05 月 30 日 - 10:56:26

1.大砲最近都在國外…
2.有個觀念先要在這裡跟有疑問的大大們說一下:任何資訊的揭發,在你自己不懂或不清楚的範圍裡要先自己去找資料瞭解,而不是一昧的要在這裡得到"答案",倘若在你看過資料後仍有不解地方再提出,這樣有些大大或許能給你更進一步的說明.就像資安顧問、XSS一點也不好、重重…大大說的部份
3.看到某些大大都說要有具體的方法來呈現xss的進行程序!不才不懂這樣的想法是對還是錯,若是具體的展現利用xss的複合攻擊手法,那不表示在展現一個在台灣法律被認定是違法的行為嗎(除非那是你自己的測試網站,再說這樣的demo有的是)?是在替你求知呢?還是在害人呢?
4.替大砲說句話:看到不清楚或不懂的範圍,請先自己去搜尋,自己先做功課,自己先理解後,遇無法理解的再來求知
5.以上個人意見

By 天罣 on 2008 年 05 月 30 日 - 17:21:44

雷聲大，雨點小…
我想許多人都不見棺材不掉淚
再者…會有這樣的想法,我想最大的原因應該就是"無知"!!
還有，要求人家分享知識，這要看大砲個人意願，他已經免費提供相關資訊，還要叫他做進一步的教學，天底下哪有這麼便宜的事!!!

By 大雕 on 2008 年 06 月 3 日 - 11:22:50

打賭,一定沒事….

By 路人 on 2008 年 06 月 4 日 - 09:07:48

樓上 XSS一點也不好玩所說"XSS是否能成功, 依據其為何種類的 XSS 來看:
1.反射型: 網站將使用者輸入具XSS效果的值, 沒有檢查過濾, 就直接echo至回應網頁中.
成功關鍵在於, 使用者是否會受惡意引導, 直接點擊連結, 或輸入造成XSS的內容.
2.預儲型: 具XSS效果的值, 先寫至資料庫中, 之後再從資料庫讀出列至網頁時 (如最新消息、檢視留言等), 沒有檢查過濾XSS內容.
成功關鍵在於, 使用者會不會開啟列出來的網頁."

您說的沒錯, 但是大部分公佈出來有漏洞的網站, 驗證方式用搜尋引擎echo您的的訊息, 像是腳尾飯新聞, 沒有別的使用者會看到您所填入的script, 當然不會對觀看者有傷害. 不是嗎?? 實際往這幾個網站觀看, 其他地方並沒有討論區之類可攻擊, 挑搜尋引擎駭自己, 唉….無言.

By 好奇 on 2008 年 06 月 6 日 - 18:45:25

哈…總是有人要製造一些話題啊..要不然太平靜也不好。

By tony on 2008 年 06 月 7 日 - 00:13:39

搜尋引擎可以XSS也算安全嗎…?
如果搜尋引擎的輸出不過濾XSS，很可能在你顯示出搜尋
結果的同時，你就中標了…駭客只要確定你沒有過濾輸出
(重點不是輸入過濾….尤其搜尋引擎輸入絕對不止一種
途徑的時候)，然後想辦法在網站插入一些html code，
也許是不太起眼的地方，配合搜尋就算你不去點連結也
可能會中標….

搜尋引擎的輸出驗證XSS又是最簡單的，只要不要顯示所有的
HTML語法就好了(相關符號全部換成顯示字元或全部tag過濾
掉)

By 重重 on 2008 年 06 月 9 日 - 09:31:03

XSS如果被利用來犯罪，
要做追蹤是不太容易的！
真的被利用了！
也不見得會曝光！
君不見很多IT專業人員都搞不清楚什麼是XSS了！
更何況是一般使用者！

當然我也承認，
單純的XSS漏洞並不像SQL-Inj這類攻擊破壞力那麼強大！
但卻是個很好的搭配攻擊手法！
搭配CSRF，或是搞個XSS Worm，
所造成的影響是很可觀的！

而且我始終搞不懂，
有弱點被提出不是應該就要做出修補或防範措施嗎？
怎麼很多人卻卡在找更多佐證來證明現在還沒出事…XD

By Roamer on 2008 年 06 月 13 日 - 10:40:28

>怎麼很多人卻卡在找更多佐證來證明現在還沒出事…XD

何必找佐證來證明現在還沒出事?
"Samy is my hero!" 算是明顯事件的最大宗了!

反正只要出事的不是網站系統資料庫, 那就是關我屁事… XD

By XSS一點也不好 on 2008 年 06 月 13 日 - 18:54:51