什麼是XSS?我盡量寫成一般人也會懂的說法...
XSS(Cross Site Scripting)
XSS就是利用頁面裡面所搭配的JavaScript程式
所製造出來的程式裡面加入了惡意的程式碼
讓你在瀏覽頁面的時候,例如修改個人資料時
因為伺服器端會根據你登入的資訊(如:存放在Cookies的資料)
而在回應訊息給你的時候
這些惡意程式就同時會把你的個資送到駭客的手上
這還只是XSS攻擊的其中一個方法
基本上是防不勝防的
伺服器端會很自然的把這個來歷不明的登入者當作是正常訪客
因為根本就是用你的資訊去登入啊
這次無名小站所遭受到的損失
鬼才相信他們的說法...
只有13筆資料流失咧
不知道無名是不是少打了個單位-"萬"
相關新聞可以看
新聞來源 : 自由時報 無名小站遇「駭」 個資流入中國
幹技術的都知道不可能只被盜個13筆資料就發現了
還有時間可以鬥法咧
大概早就被盜走不少資料了
我想無名小站最後也是束手無策
所以才全面禁用JS啦
要是抗戰成功還禁個屁?
老實說這個漏洞早就存在了
2002年就有國外網站遭受攻擊
而有一位也是搞技術的前輩 布丁大長輩
就已經在2006年提出過無名小站這個嚴重的漏洞了
另外這幾位bloger的文章也是很值得參考
最後結論是啥....
老實說...很瞎
因為最好的解決辦法是關掉JavaScript
但是現在的WebPage有哪個不掛JavaScript啊
一關掉JS
你瀏覽一狗票的網站都動不了
而且目前台灣網民瀏覽器市場最大的IE是無法關閉使用JS的
FireFox還好點...問題是使用族群太少
所以可能的話
盡可能不要隨便留實際資料在網路上
先確保自己的安全吧!
延伸閱讀
留言列表