Browse: Normal | List

網路 研究: 防治XSS攻擊

雖然說跨站的程式碼攻擊並不是什麼新東西,甚至國內不少知名網站過去都有傳過類似的安全漏洞,
不過最近看到自己有在用的twitter被連續XSS攻擊
網路上有人詳細的說明攻擊過程,根本是擋了又被破解連續好幾次,一個知名網站簡直就是被一個小鬼玩弄...
雖然這邊只是個默默無聞的小網站,不過看到這種攻擊不免自己有警覺
所以這幾天其實在研究這類攻擊的防範方法...

有長輩說這根本是杞人憂天,這種默默無聞的小網誌放它100年應該也不會有人來攻擊...
不過實際上,這邊剛啟用沒多久,大約去年中的時候,f2blog爆出xmlrpc有SQL injection可以上傳任意檔案的安全漏洞,這邊cache目錄裡面居然就被不知名的人放了一個執行怪指令的php檔,讓人大吃一驚,從此以後對安全性更加警覺...
所以對這種東西最好不要太鐵齒,以免後悔莫及...
f2blog-xmlrpc-vulnerable.jpg
←這是去年10月份的備份檔
去年5月底爆出漏洞,6月隨即被放了檔案,因為檔案藏在不會去注意到的cache裡面,一直在3,4個月後才被我發現

跨網站指令碼 - 維基百科

XSS攻擊簡單的說,就是攻擊者在有漏洞的網頁上貼一段javascript程式(或連結),該程式就會竊取訪問該網頁使用者儲存的資料(主要是瀏覽器的cookie資訊),後果是,id和密碼被冒用,如果被竊取的是管理員的帳號,那更是\(^o^)/...

所以從XSS攻擊的特性,可以從兩方面來防範:

[Read All]

Tags: XSS 資安
Category: 網路 | Trackback: 0 | Comments: 1 | Read: 3049
  • 1