ESET NOD32 台灣官方網站存在XSS安全漏洞
2008 年 11 月 04 日 – 11:59:54
ESET NOD32 台灣官方網站存在XSS (Cross-Site Scripting) 安全漏洞 (ESET NOD32 香港官方網站存在XSS安全漏洞也尚未修復 )。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
首頁:
測試語法,如下所示:
http://www.nod32tw.com/default.php?id=181&p=24&searchword=%22%3E%3Ciframe+src%3Dhttp%3A%2F%2Fwww.google.com%3E%3C/ifame%3E
測試結果,如下圖所示:
“ESET NOD32 台灣官方網站存在XSS安全漏洞” 目前有 4 迴響
記得上個月才爆香港的網站有這個問題,怎麼台灣的情況還是一樣呀,XSS的問題還真是無所不在呀,不過台灣大部份Web Server應該也都還是用IIS和Apache居多吧,其實在IIS上加裝URLScan或在Apache上裝 mod_security都可以擋掉蠻多的XSS及SQL injection攻擊,只是剛裝的開始或多或少還是會有些問題要調整設定,不過應該還是安全比較重要吧,而且又是免費的工具
By 熊 on 2008 年 11 月 4 日 - 14:25:20
美國大選,也有用到 XXS 攻擊喔,這裡有兩則美國大選相關的新聞
第一則:歐巴馬邀請你填問卷,就送你500美元加油卡,參加者除了得到惹人心煩的廣告程式外,拿不到任何好處。
第二則:明明是當時爭取民主黨總統提名的希拉蕊陣營註冊的網站,卻將訪客導引至敵營馬侃的網站。原來是駭客利用「跨網站指令碼」(XSS) 攻擊進行選舉線上的暗中角力。
詳文請看:
http://www.ithome.com.tw/plog/index.php?op=ViewArticle&articleId=20499&blogId=1252
By 崔嘻 on 2008 年 11 月 4 日 - 16:43:12
日前 ESET NOD32 香港以及台灣區官方網站均已經修復此 XSS 的漏洞問題,
請各位用戶放心瀏覽網頁,
也非常感謝貴站對 ESET NOD32 的關心以及建議,
我們會盡力持續地提供用戶一個安全的瀏覽環境,並避免此類
情況再次發生。
By ESET 台灣地區總代理 - 台灣二版工程技術部 on 2008 年 11 月 24 日 - 20:39:10
http://www.nod32tw.com/default.php?id=181&p=24&searchword=%22%3E%3Ciframe+src%3Dhttp%3A%2F%2Fwww.google.com%3E%3C/ifame%3E
By abc on 2008 年 12 月 23 日 - 11:33:17