close

什麼是XSS?我盡量寫成一般人也會懂的說法...



XSS(Cross Site Scripting)



XSS就是利用頁面裡面所搭配的JavaScript程式



所製造出來的程式裡面加入了惡意的程式碼



讓你在瀏覽頁面的時候,例如修改個人資料時



因為伺服器端會根據你登入的資訊(如:存放在Cookies的資料)



而在回應訊息給你的時候



這些惡意程式就同時會把你的個資送到駭客的手上



這還只是XSS攻擊的其中一個方法



基本上是防不勝防的



伺服器端會很自然的把這個來歷不明的登入者當作是正常訪客



因為根本就是用你的資訊去登入啊



 



這次無名小站所遭受到的損失



鬼才相信他們的說法...



只有13筆資料流失咧



不知道無名是不是少打了個單位-"萬"



相關新聞可以看



新聞來源 : 自由時報 無名小站遇「駭」 個資流入中國



幹技術的都知道不可能只被盜個13筆資料就發現了



還有時間可以鬥法咧



大概早就被盜走不少資料了



我想無名小站最後也是束手無策



所以才全面禁用JS啦



要是抗戰成功還禁個屁?



 



老實說這個漏洞早就存在了



2002年就有國外網站遭受攻擊



而有一位也是搞技術的前輩 布丁大長輩



就已經在2006年提出過無名小站這個嚴重的漏洞了



另外這幾位bloger的文章也是很值得參考





無名小站的 XSS 安全漏洞





十多分鐘抵禦XSS且擊退攻擊的神奇技術?



 



最後結論是啥....



老實說...很瞎



因為最好的解決辦法是關掉JavaScript



但是現在的WebPage有哪個不掛JavaScript啊



一關掉JS



你瀏覽一狗票的網站都動不了



而且目前台灣網民瀏覽器市場最大的IE是無法關閉使用JS的



FireFox還好點...問題是使用族群太少



所以可能的話



盡可能不要隨便留實際資料在網路上



先確保自己的安全吧!



 



延伸閱讀





xss攻擊 無名小站犯的大錯

arrow
arrow
    全站熱搜

    longlang0616 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄