PChome Online網站存在XSS安全漏洞

2008 年 05 月 15 日 – 08:13:22

PChome Online網站被發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。

跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。

測試語法,如下圖所示:

測試結果,如下圖所示:

  1. “PChome Online網站存在XSS安全漏洞” 目前有 24 迴響

  2. 哇哩…看來上網真的要很小心…
    連有名入口網站都有潛在的漏洞…

    By mike on 2008 年 05 月 15 日 - 09:58:35

  3. Google以前不是也有?

    By noname on 2008 年 05 月 15 日 - 16:45:46

  4. Xss 所有網站幾乎無一倖免,太可怕了。

    By 平平 on 2008 年 05 月 16 日 - 04:23:52

  5. 誰說的…我的網站就沒有…
    (因為我把網站關了,回去賣麵了)
    我就不信駭客能駭到我這個賣麵的…

    By Duex on 2008 年 05 月 16 日 - 12:07:31

  6. 關閉所有HTML tag就不會有XSS了…=w=
    禁止連結外站資源(img等)、使用script也可以
    防堵大部分XSS

    要做開放就要針對語法做parser,不然一定會中獎

    只是寫網頁的趕project都來不及了,沒寫進spec的東西
    誰會去理他

    By 重重 on 2008 年 05 月 16 日 - 14:42:26

  7. 請問:還沒修復嗎?

    By Hitman on 2008 年 05 月 16 日 - 23:26:05

  8. 修復了還是一樣會有其他的漏洞的。

    By 平平 on 2008 年 05 月 17 日 - 05:57:44

  9. 看起來是還沒修復…><

    可以參考底下連結進行修補…:)
    http://www.owasp.org/index.php/Top_10_2007-A1#Protection

    By Roamer on 2008 年 05 月 17 日 - 12:44:45

  10. 這算漏洞嗎?? 大砲專家您好, 常常看到您貼這類網站的安全漏洞公佈, 不過實在很好奇, 這樣為什麼算是漏洞, 搜尋引擎把自己打入的資訊echo出來, 沒有存到資料庫, 就算你打的script是轉跳至某惡意網站, 也只會傷害到自己, 別人又看不到. 可否指導依下, 謝謝

    By 好奇 on 2008 年 05 月 17 日 - 13:04:45

  11. 可以換個話題了! XSS 沒什麼好討論的.

    By cc on 2008 年 05 月 17 日 - 14:04:00

  12. 台湾的PCHOME啊。
    看来大炮是XSS高手。

    By greysign on 2008 年 05 月 17 日 - 18:15:06

  13. 還沒修復是不是不能到PChome Online網站看PChome Online相簿或部落格呢?

    By on 2008 年 05 月 17 日 - 20:20:52

  14. 樓上的好奇大大,我也有同樣不解,大砲們應該說清楚才是耶。

    By 平平 on 2008 年 05 月 17 日 - 21:53:13

  15. >>搜尋引擎把自己打入的資訊echo出來, 也只會傷害到自己, 別人又看不到

    我想這只是就近用搜尋的欄位做測試
    因為那個欄位可以,同理可證網站上其他的能儲存的欄位(ex留言.新聞討論…etc)也可以

    By SOMIA on 2008 年 05 月 18 日 - 13:15:37

  16. 其實最近的XSS測試都只是針對理論性所做的測試,真正的危害都必須再多做更深入的部分,搭配其他的機制才能真正造成危害。也就是說這些有XSS漏洞的網站大部分都只是測出造成危害的第一步驟而已,而單純就這個第一步驟而言是不會有危害的。

    By guest on 2008 年 05 月 19 日 - 12:54:32

  17. 不是已經改好了嗎

    By guest on 2008 年 05 月 20 日 - 11:20:51

  18. 要看回傳的HTML資料,
    明顯有地方未過濾到…

    Ex:如果關掉抬頭呢?
    (提示好像太明顯了…:p)

    By Roamer on 2008 年 05 月 20 日 - 12:55:14

  19. 連續幾週看大砲開講都是XSS的漏洞,可是看他針對進行XSS的測試欄位卻都是搜尋欄位,並不是覺得XSS測試不對,而是覺得這種測試找錯測試欄位目標了,所謂的XSS攻擊的對象都是瀏覽者,所以攻擊者的XSS程式碼必須讓其他瀏覽者的瀏覽器能夠執行,而目前看到的測試都只是攻擊者自己的瀏覽器能夠執行而已,如好奇說的:這些Script並沒有寫入資料庫,讓其他瀏覽者去接觸到,所以相形之下,每次看到這些XSS測試,總覺得不但沒有說服力,也容易對其他不了解XSS的人產生誤導

    By RX78 on 2008 年 05 月 21 日 - 16:36:40

  20. 其實這樣的攻擊只是要測試是否有可利用的弱點而已,若實際要利用可能還要搭配很多其他的方法,例如把某個惡意語法利用phishing的方式,想辦法讓其他的client去點,這樣一來那個client就會在自己本機上面執行惡意語法了。所以真正要能夠實際利用這些被測試出來的漏洞,也不是那麼簡單的,也是因為這樣所以這些漏洞才被很多程式人員忽略掉的。

    By tyler on 2008 年 05 月 23 日 - 10:43:07

  21. 我的好奇依然沒有得到大砲專家的解答, 如果因為搜尋引擎echo您所打入的scipt, 就判定為網站存在安全漏洞, 是否有些看到黑影就開槍的感覺, 還好您這網站不是公司, 不然被那些大公司告你毀謗名譽, 後果將不堪設想. 如果真的認為PC HOME有漏洞, 您應該直接指出有漏洞會傷害他人的部分, 而不是誤導所有信賴您的人.

    By 好奇 on 2008 年 05 月 27 日 - 23:17:59

  22. to 好奇
    你可以試試看人家google是怎樣顯示這類語法的….
    你可以去找找前陣子被植入木馬的資安產品販賣商-精誠
    的消息…..要讓整個畫面安全的輸出到使用者的瀏覽器上,
    就是要像google那樣把相關的符號都轉換成不會執行的
    HTML code(不然光是搜尋引擎用一用就可以讓你中毒或者
    擷取一段簡要說明就畫面亂掉)
    警告是對那些廠商單位的好心,會認為是毀謗的話,顯然是
    搞錯方向了

    By 重重 on 2008 年 05 月 30 日 - 15:10:43

  23. XSS 大多用在C2c 比較多
    往往效果不大呢 除非把網站給拿下
    效果才大

    我看到這麼多的xss漏洞公佈
    我門都看到了 雖身在本土
    不能動手…但是大陸的那邊都看到了
    這下可被拿來當實驗下手了

    By hiphop on 2008 年 06 月 15 日 - 15:20:37

  24. Web2.0的時代,不管是C2C C2B B2C都有危險
    SQL Injection都可以用機器人大量攻擊了,XSS應該也不遠
    了….最好是繼續矇著頭假裝不知道啦,這邊不公佈難道就沒
    有人知道了嗎….

    By 重重 on 2008 年 06 月 16 日 - 13:54:10

  25. 是的,網路越來越危險了,大家一定要正視問題,不要不理不睬。

    By Porui on 2008 年 06 月 16 日 - 17:02:56

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).