「台灣卡巴斯基網站存在XSS安全漏洞」的迴響

由：Roger

Roger — Sun, 31 Oct 2010 02:46:16 +0000

請改用Dr.Web大蜘蛛防毒軟體：http://www.drweb.tw

由：ben

ben — Sun, 06 Jun 2010 13:17:33 +0000

我一直都使用小紅傘網路安全(今年8月17日就滿1年),可是已經發生2次yahoo信箱亂寄
信的現象(已換新的密碼,還會發生),我今天就解除小紅傘網路安全,改用卡巴斯基來掃
毒,一下子就掃出5隻木馬程式,我有個疑問就是我正常在更新小紅傘網路安全及定期掃
毒,理論上之前沒有發現木馬,更新及定期掃毒之後,應該會發現那5隻木馬程式,為什麼
小紅傘網路安全一直都沒有發現那5隻木馬程式,能不能麻煩解答我內心的疑問,謝謝?

由：zero

zero — Sat, 11 Jul 2009 10:48:16 +0000

附上友情檢測XSS語法:

http://web.kaspersky.com.tw/KL-Services/FAQ/Kav2009/kav2009_44.php?faq_name=%22%3E%3Cscript%3Ealert%28/XSS/%29;%3C/script%3E&faq_no=317&faq_checksum=7115&faq_product=18&faq_id_no=5

由：狼圖騰

狼圖騰 — Sat, 11 Jul 2009 10:32:11 +0000

http://web.kaspersky.com.tw/KL-Services/FAQ/Kav2009/kav2009_44.php?faq_name=%27&faq_no=317&faq_checksum=7115&faq_product=18&faq_id_no=5
可能還存在SQL注入漏洞？
過濾雙引號、反斜線，就是沒關鍵的單引號XD

我稍為研究一下，那存在一個編碼的問題
在URL被UTF-8碼處理過後，由於目標資料庫採用big5編碼處理。
在送出「關於卡巴斯基防毒軟體發生中斷，重新啟動時出現上一個應用程式啟動失敗訊息」的連結時
由於 "息" 字為 E6 81 AF 編碼，最後的AF編碼和單引號 (27)解釋成 AF 27 的Big5編碼處理
而少了後單引號導致SQL語法無法解釋而發生錯誤