安全漏洞

ESET NOD32 台灣官方網站存在XSS安全漏洞

2008 年 11 月 04 日 – 11:59:54

ESET NOD32 台灣官方網站存在XSS (Cross-Site Scripting) 安全漏洞 (ESET NOD32 香港官方網站存在XSS安全漏洞也尚未修復 )。閱讀全文 »

XSS, 安全漏洞 | 瀏覽數：21,692 | 4 迴響 »

趨勢科技 OfficeScan “cgiRecvFile.exe” 存在緩衝區溢位安全漏洞

2008 年 09 月 13 日 – 16:54:29

趨勢科技 OfficeScan “cgiRecvFile.exe” 被安全研究機構 Secunia 發現存在緩衝區溢位安全漏洞，主要是因為在HTTP請求中的電腦名稱 (ComputerName) 參數長度過長，導致此問題。閱讀全文 »

安全更新, 安全漏洞 | 瀏覽數：1,627 | 2 迴響 »

WordPress 2.6.1存在SQL Truncation安全漏洞

2008 年 09 月 08 日 – 20:10:18

更新：WordPress 2.6.2已經修復此漏洞，請到這裡下載。

WordPress 2.6.1被發現存在SQL Truncation安全漏洞。如果WordPress開放註冊功能，攻擊者可以經由遠端取得管理者密碼。閱讀全文 »

PoC, 安全漏洞 | 瀏覽數：12,887 | 2 迴響 »

大砲開講論壇存在XSS安全漏洞

2008 年 09 月 05 日 – 19:27:19

昨天才安裝的論壇程式，剛剛被發現存在XSS安全漏洞，做個紀錄，以示警惕。目前我已經將安全漏洞訊息告知論壇作者，正等待他們修復此安全漏洞，否則，就要將它換掉。閱讀全文 »

XSS, 安全漏洞 | 瀏覽數：1,481 | 3 迴響 »

趨勢科技OfficeScan被發現緩衝區溢位漏洞

2008 年 07 月 30 日 – 12:16:40

根據國外媒體報導，趨勢科技OfficeScan被發現緩衝區溢位漏洞，主要是發生於 ObjRemoveCtrl ActiveX 控制元件。閱讀全文 »

安全漏洞 | 瀏覽數：1,491 | 4 迴響 »

XSS/安全漏洞爆料區

2008 年 05 月 09 日 – 22:43:02

鑒於台灣網站存在非常多的安全漏洞，如果這些安全漏洞被攻擊者所利用，將導致你我財務或其他方面的損失。如果您發現台灣網站存在XSS或其他安全漏洞，請通知我們，謝謝。

XSS/安全漏洞張貼規則：

網站名稱及網址
如果是XSS安全漏洞，請提供測試語法(請勿含有惡意連結)，如<script>alert(”XSS”)</script>等
如果是一般安全漏洞，請提供安全公告連結，如MS08-025(如果您發現零時差安全漏洞，請提供驗證程式碼)等

XSS, 安全漏洞 | 瀏覽數：4,218 | 15 迴響 »

NAUTICA台灣網站被值入惡意連結

2008 年 02 月 25 日 – 16:08:00

注意：目前惡意連結已移除 (2008/2/25@16:14)
NAUTICA台灣網站被值入惡意連結，此惡意程式為 TROJ_DLOADER.EMD，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦，請各位暫時不要瀏覽這個網站，以免中毒。閱讀全文 »

安全漏洞, 惡意程式, 網站安全 | 瀏覽數：578 | 2 迴響 »

台中縣清水鎮公所被轉址與被入惡意連結

2008 年 02 月 25 日 – 15:38:00

注意：都已經N天了，目前惡意連結還在(2008/2/25@15:40)，無言…
台中縣清水鎮公所被轉址與被入惡意連結，此惡意程式為 TSPY_QQPASS.CH，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦，請各位暫時不要瀏覽這個網站，以免中毒。(Credit: 匿名網友) 閱讀全文 »

安全漏洞, 惡意程式, 網站安全, 網站遭駭 | 瀏覽數：1,094 | 0 迴響 »

國立台灣師範大學國語教學中心網站遭駭且被植入惡意程式

2007 年 11 月 30 日 – 10:38:00

國立台灣師範大學國語教學中心網站遭駭且被植入惡意程式，不過，此惡意程式已經無法下載。在這裡要注意的是這個網站有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出系統或軟體的安全漏洞，然後，儘快修補這些漏洞，而不是只是移除/修改那些遭駭的檔案。

首頁：

遭駭之網頁：

Google Search的結果(遭駭次數蠻多，還不改善)：

惡意程式連結為(已失效，但原來之網址好像是正常網站)：

安全漏洞, 惡意程式, 網站安全, 網站遭駭 | 瀏覽數：776 | 0 迴響 »

新都里餐廳網站遭駭

2007 年 11 月 23 日 – 17:29:00

新都里餐廳網站遭駭，在這裡要注意的是這個網站有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出系統或軟體的安全漏洞，然後，儘快修補這些漏洞，而不是只是移除/修改那些遭駭的檔案。

遭駭前首頁：

遭駭後首頁：

至於詳細的資訊，請參考 Turk-h。

安全漏洞, 網站安全, 網站遭駭 | 瀏覽數：749 | 0 迴響 »

心態不改難保不會再被入侵

2007 年 11 月 08 日 – 10:31:00

這則新聞說明了現在大部分遭入侵企業的心態：

此則新聞部分內容：
〔記者吳幸樺／台南報導〕
[...] 成大表示，由於這兩天圖書館進行評鑑，暫時將防火牆鬆綁，才會被駭客入侵，幸好駭客的目的只是惡作劇，並未損及電腦資料庫。

成功大學表示，這兩天學校在辦評鑑，地點就在圖書館，必須接收大批資料，將防火牆暫時鬆綁，沒想到竟給了駭客入侵的機會。

成大表示，[...]，幸好只是無傷的惡作劇，未造成資料被盜或系統受損。

黑手遮天、粉飾太平：因為某種原因，所以，導致被入侵。意思是說，那些被入侵的企業根本沒有建立『資安事件標準處理程序』。
使用者的資料沒有被竊取：誰可以驗證他們所說的話呢？最好能立法強制企業須接受有能力之公正單位檢視，並公佈結果。
很少檢視系統有安全漏洞：根本沒有能力調查到底系統是如何被入侵？
我們已經安裝了相關的資安軟體：關鍵的問題不在到底安裝了多少資安軟體，而是在於會不會使用這些資安軟體，或是會不會分析這些資安軟體所產生的記錄檔。
…

安全漏洞, 網站安全, 網站遭駭 | 瀏覽數：621 | 3 迴響 »

臺北市商業處網站被駭

2007 年 10 月 18 日 – 18:38:00

臺北市商業處網站被駭，在這裡要注意的是這個網站有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出系統或軟體的安全漏洞，然後，儘快修補這些漏洞，而不是只是移除/修改那些遭駭的檔案。

Note: 使用者資訊有遭竊嗎？

至於詳細的資訊，請參考 zone-h。

安全漏洞, 網站安全, 網站遭駭 | 瀏覽數：589 | 0 迴響 »

Google Gmail 被發現 CSRF 安全漏洞

2007 年 09 月 26 日 – 20:46:00

GnuCitizen 的 pdp 宣稱發現 Google Gmail 存在一個 CSRF 安全漏洞，使得攻擊者可以製作任意的惡意網頁，當使用者瀏覽那些網頁時，可以將某些規則寫入 Gmail 的篩選器中 (當然，那時你已經登入 Gmail)，以綁架 (監控) 使用者的電子郵件。

不過，此作者並未將驗證程式碼公佈，因為 Google 尚未修復此漏洞。下圖是展示將 Gmail 的篩選器中加入一個條件『將擁有附件的電子郵件轉寄志某個電子郵件信箱』：

至於詳細的資訊，請參考作者網站：
http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

另外，另一個網友也在他的部落格中，展示利用 Google 的某些安全漏洞 (作者有提供驗證程式碼)，成功地達到某些目的，有興趣的人，請參考下面連結：
http://blog.beford.org/?p=3 (注意：此部落格中的展示連結，請勿在 Gmail 開啟的狀況下執行，否則，你的電子郵件會被轉寄到作者的電子郵件信箱。如要測試，最好在虛擬環境下，自行建立一個新的 Gmail 帳戶)

PoC, 安全漏洞, 網站安全 | 瀏覽數：674 | 5 迴響 »

Google Urchin 被發現 XSS 安全漏洞

2007 年 09 月 26 日 – 16:44:00

GnuCitizen 的 Adrian Pastor 發現 Google Urchin 存在一個 XSS 安全漏洞，使得攻擊者根本不需要登入帳號和密碼，即可登入Urchin 的管理網頁。此一安全漏洞可以被利用於釣魚網站攻擊上。

受影響軟體：

Urchine 版本為 5.6.00r2、5.7.01、5.7.02、5.7.03 (之前的版本也有可能有此漏洞)。

驗證程式碼：



其他的驗證程式碼和展示影片，請參考下列的網址：http://www.gnucitizen.org/blog/google-urchin-password-theft-madnesshttp://www.youtube.com/v/wCUovL9WLVQ

另外，RSnake 在他的部落格中，也利用一個網站展示此漏洞 (如下圖)：