大砲開講

補充說明:
這個部份應該說是用龍捲風科技的"知識檢索系統"出現的狀況
另使用這個檢索的還有"松山機場網站",松山的檢索即可測到語法

By 天罣 on 2008 年 05 月 14 日 - 22:35:34

大砲專家您好, 常常看到您貼這類網站的安全漏洞公佈, 不過實在很好奇, 這樣為什麼算是漏洞, 搜尋引擎把自己打入的資訊echo出來, 沒有存到資料庫, 就算你打的script是轉跳至某惡意網站, 也只會傷害到自己, 別人又看不到. 可否指導依下, 謝謝

By 好奇 on 2008 年 05 月 17 日 - 13:00:54

我不是大砲，更不是專家，不過還是可以簡單回應一下好奇大的問題．

XSS的攻擊重點之一，在於如何包裝連結，前面也有提到過可以透過廣告信連結、縮網址、論壇發文與簽名檔等方式，誘使使用者點選連結！當然還有更邪惡或是還未被普遍利用的方式，這邊就不深入探討了…:p

過去發生過的案例，某知名部落格網站就曾經因為討論區的XSS漏洞，導致管理者權限被盜用…

XSS嚴重與否，見仁見智，但發現具有這類型的間接攻擊漏洞，建議還是儘速修補，免得害人害己！:)

By Roamer on 2008 年 05 月 17 日 - 15:43:35

過去發生過的案例，某知名部落格網站就曾經因為討論區的XSS漏洞，導致管理者權限被盜用…
還是不太懂，這只會讓使用者被誘使，為何會使該網站的管理者權限被盜呢。

By tony on 2008 年 05 月 17 日 - 22:00:09

我猜一下
是不是那個被誘的使用者是網站管理者就可以獲取網站相關的權限?

By tamadox on 2008 年 05 月 18 日 - 00:15:58

有心的駭客可以利用上述的漏洞,把那個鑲Google的Iframe改成偽裝的帳號密碼輸入畫面,接著再透過社交工程發一封email給想竊取的對象,Email內附看起來正常的link(偽裝成pchome抽獎之類的)…
不知情的受害者稍不注意就有可能因此透過假的登入iframe將自己的帳號密碼傳給駭客了~
XSS看起來對有漏洞的網站本身是無害的~但卻可能成為被利用的對象而讓第三方受害~ 應該就是這樣囉

By JC on 2008 年 05 月 18 日 - 00:38:07

唉…不小心的人,做什麼事都不小心
像我從不開別人寄的檔案,除非是約定帳戶,已經知道
他等下會寄檔案給我(要先電話聯絡)

也從不開不明連結,輸入帳號密碼一定是自己連到
該網址,不會透過第三方轉傳

連這點都做不到,光怪別人是不行的

事實上,只要不上網,很多事都可以避免
像我也改看實體報紙,買東西到現場買

(難免還是會買到黑心商品,但是這時就無法怪別人了)

少用 email,這東西最後垃圾信比真的信來的多,改用
手寫的信…

資訊安全,從你我自己做起(少用電腦開始)

By Duex on 2008 年 05 月 18 日 - 03:12:08

XSS 就是用要騙的咩…
這個手法類似原本的 sql injection
只是現在網站對 sql 輸入檢測越作越多了
所以改方法,改來騙一些無知受害者比較簡單..
基本上來說這個受害的主要是 end users 啦
亂點 link 之類最容易中標

By midas on 2008 年 05 月 19 日 - 11:38:42

我的感覺是XSS其實可以從瀏覽器防治一部份的….尤其
是一些不正常的html tag，要AP廠商做過濾實在太ooxx….
很多看起來很奇怪的script tag本來是不應該被執行的，可
是瀏覽器為了方便也是放行而且還會去跑….問題是就算AP
廠商會去做html parser，遇到這種的恐怕也是想都沒
想過..畢竟語意分析碰到那種惡意使用的情況根本就很難被
考慮進去…..所以說互動式網站還是不要用html tag比較
好…..說不定為了要開放html跟xss，可以產生一種新的
輕量化HTML(禁止與script掛鉤，問題就解決很多了…)

By 重重 on 2008 年 05 月 19 日 - 15:48:34

Roamer 大大您好

好奇大大 說:
沒有存到資料庫, 就算你打的script是轉跳至某惡意網站, 也只會傷害到自己

Roamer 大大您測試打入的惡意聯結如何讓別人看見呢? 若都不存入database 的話, 照理應該害不了別人.

By 哈啦 on 2008 年 05 月 23 日 - 11:25:14

回哈啦大

在之前文章的回應有提過，可以參考底下連結…:)
http://rogerspeaking.com/2008/04/598#comment-665

By Roamer on 2008 年 05 月 25 日 - 22:16:01