「PChome Online網站存在XSS安全漏洞」的迴響 http://rogerspeaking.com/2008/05/912 ~分享是進步的原動力~ Sat, 21 Apr 2012 06:15:34 +0000 hourly 1 http://wordpress.org/?v=3.3.1 由:Porui http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1170 Porui Mon, 16 Jun 2008 09:02:56 +0000 http://rogerspeaking.com/?p=912#comment-1170 是的,網路越來越危險了,大家一定要正視問題,不要不理不睬。 是的,網路越來越危險了,大家一定要正視問題,不要不理不睬。

]]> 由:重重 http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1166 重重 Mon, 16 Jun 2008 05:54:10 +0000 http://rogerspeaking.com/?p=912#comment-1166 Web2.0的時代,不管是C2C C2B B2C都有危險 SQL Injection都可以用機器人大量攻擊了,XSS應該也不遠 了....最好是繼續矇著頭假裝不知道啦,這邊不公佈難道就沒 有人知道了嗎.... Web2.0的時代,不管是C2C C2B B2C都有危險
SQL Injection都可以用機器人大量攻擊了,XSS應該也不遠
了….最好是繼續矇著頭假裝不知道啦,這邊不公佈難道就沒
有人知道了嗎….

]]> 由:hiphop http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1165 hiphop Sun, 15 Jun 2008 07:20:37 +0000 http://rogerspeaking.com/?p=912#comment-1165 XSS 大多用在C2c 比較多 往往效果不大呢 除非把網站給拿下 效果才大 我看到這麼多的xss漏洞公佈 我門都看到了 雖身在本土 不能動手...但是大陸的那邊都看到了 這下可被拿來當實驗下手了 XSS 大多用在C2c 比較多
往往效果不大呢 除非把網站給拿下
效果才大

我看到這麼多的xss漏洞公佈
我門都看到了 雖身在本土
不能動手…但是大陸的那邊都看到了
這下可被拿來當實驗下手了

]]> 由:重重 http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1135 重重 Fri, 30 May 2008 07:10:43 +0000 http://rogerspeaking.com/?p=912#comment-1135 to 好奇 你可以試試看人家google是怎樣顯示這類語法的.... 你可以去找找前陣子被植入木馬的資安產品販賣商-精誠 的消息.....要讓整個畫面安全的輸出到使用者的瀏覽器上, 就是要像google那樣把相關的符號都轉換成不會執行的 HTML code(不然光是搜尋引擎用一用就可以讓你中毒或者 擷取一段簡要說明就畫面亂掉) 警告是對那些廠商單位的好心,會認為是毀謗的話,顯然是 搞錯方向了 to 好奇
你可以試試看人家google是怎樣顯示這類語法的….
你可以去找找前陣子被植入木馬的資安產品販賣商-精誠
的消息…..要讓整個畫面安全的輸出到使用者的瀏覽器上,
就是要像google那樣把相關的符號都轉換成不會執行的
HTML code(不然光是搜尋引擎用一用就可以讓你中毒或者
擷取一段簡要說明就畫面亂掉)
警告是對那些廠商單位的好心,會認為是毀謗的話,顯然是
搞錯方向了

]]> 由:好奇 http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1118 好奇 Tue, 27 May 2008 15:17:59 +0000 http://rogerspeaking.com/?p=912#comment-1118 我的好奇依然沒有得到大砲專家的解答, 如果因為搜尋引擎echo您所打入的scipt, 就判定為網站存在安全漏洞, 是否有些看到黑影就開槍的感覺, 還好您這網站不是公司, 不然被那些大公司告你毀謗名譽, 後果將不堪設想. 如果真的認為PC HOME有漏洞, 您應該直接指出有漏洞會傷害他人的部分, 而不是誤導所有信賴您的人. 我的好奇依然沒有得到大砲專家的解答, 如果因為搜尋引擎echo您所打入的scipt, 就判定為網站存在安全漏洞, 是否有些看到黑影就開槍的感覺, 還好您這網站不是公司, 不然被那些大公司告你毀謗名譽, 後果將不堪設想. 如果真的認為PC HOME有漏洞, 您應該直接指出有漏洞會傷害他人的部分, 而不是誤導所有信賴您的人.

]]> 由:tyler http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1107 tyler Fri, 23 May 2008 02:43:07 +0000 http://rogerspeaking.com/?p=912#comment-1107 其實這樣的攻擊只是要測試是否有可利用的弱點而已,若實際要利用可能還要搭配很多其他的方法,例如把某個惡意語法利用phishing的方式,想辦法讓其他的client去點,這樣一來那個client就會在自己本機上面執行惡意語法了。所以真正要能夠實際利用這些被測試出來的漏洞,也不是那麼簡單的,也是因為這樣所以這些漏洞才被很多程式人員忽略掉的。 其實這樣的攻擊只是要測試是否有可利用的弱點而已,若實際要利用可能還要搭配很多其他的方法,例如把某個惡意語法利用phishing的方式,想辦法讓其他的client去點,這樣一來那個client就會在自己本機上面執行惡意語法了。所以真正要能夠實際利用這些被測試出來的漏洞,也不是那麼簡單的,也是因為這樣所以這些漏洞才被很多程式人員忽略掉的。

]]> 由:RX78 http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1097 RX78 Wed, 21 May 2008 08:36:40 +0000 http://rogerspeaking.com/?p=912#comment-1097 連續幾週看大砲開講都是XSS的漏洞,可是看他針對進行XSS的測試欄位卻都是搜尋欄位,並不是覺得XSS測試不對,而是覺得這種測試找錯測試欄位目標了,所謂的XSS攻擊的對象都是瀏覽者,所以攻擊者的XSS程式碼必須讓其他瀏覽者的瀏覽器能夠執行,而目前看到的測試都只是攻擊者自己的瀏覽器能夠執行而已,如好奇說的:這些Script並沒有寫入資料庫,讓其他瀏覽者去接觸到,所以相形之下,每次看到這些XSS測試,總覺得不但沒有說服力,也容易對其他不了解XSS的人產生誤導 連續幾週看大砲開講都是XSS的漏洞,可是看他針對進行XSS的測試欄位卻都是搜尋欄位,並不是覺得XSS測試不對,而是覺得這種測試找錯測試欄位目標了,所謂的XSS攻擊的對象都是瀏覽者,所以攻擊者的XSS程式碼必須讓其他瀏覽者的瀏覽器能夠執行,而目前看到的測試都只是攻擊者自己的瀏覽器能夠執行而已,如好奇說的:這些Script並沒有寫入資料庫,讓其他瀏覽者去接觸到,所以相形之下,每次看到這些XSS測試,總覺得不但沒有說服力,也容易對其他不了解XSS的人產生誤導

]]> 由:Roamer http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1087 Roamer Tue, 20 May 2008 04:55:14 +0000 http://rogerspeaking.com/?p=912#comment-1087 要看回傳的HTML資料, 明顯有地方未過濾到... Ex:如果關掉抬頭呢? (提示好像太明顯了...:p) 要看回傳的HTML資料,
明顯有地方未過濾到…

Ex:如果關掉抬頭呢?
(提示好像太明顯了…:p)

]]> 由:guest http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1086 guest Tue, 20 May 2008 03:20:51 +0000 http://rogerspeaking.com/?p=912#comment-1086 不是已經改好了嗎 不是已經改好了嗎

]]> 由:guest http://rogerspeaking.com/2008/05/912/comment-page-1#comment-1079 guest Mon, 19 May 2008 04:54:32 +0000 http://rogerspeaking.com/?p=912#comment-1079 其實最近的XSS測試都只是針對理論性所做的測試,真正的危害都必須再多做更深入的部分,搭配其他的機制才能真正造成危害。也就是說這些有XSS漏洞的網站大部分都只是測出造成危害的第一步驟而已,而單純就這個第一步驟而言是不會有危害的。 其實最近的XSS測試都只是針對理論性所做的測試,真正的危害都必須再多做更深入的部分,搭配其他的機制才能真正造成危害。也就是說這些有XSS漏洞的網站大部分都只是測出造成危害的第一步驟而已,而單純就這個第一步驟而言是不會有危害的。

]]>