中華民國資訊軟體協會網站存在XSS安全漏洞
2008 年 09 月 15 日 – 00:22:15中華民國資訊軟體協會網站存在XSS (Cross-Site Scripting) 安全漏洞。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威脅。
測試語法,如下所示:
http://web.cisanet.org.tw/cgi-bin/big5/cisa/br01?q1=v2&q3=%3Ciframe+src%3Dhttp%3A%2F%2Fwww.google.com%3E%3C%2Fiframe%3E&q12=&x=39&y=12
測試結果,如下圖所示:
“中華民國資訊軟體協會網站存在XSS安全漏洞” 目前有 2 迴響
謝謝指正,目前已將出問題的部份關閉進行修正
By JC on 2008 年 09 月 15 日 - 16:41:17
看起來上面的第一步驟是正確的,同樣以此文跟大家共勉!!
深思網站淪陷背後的意義
By Crane on 2008 年 09 月 15 日 - 22:23:54