從未來週記事件看網站安全
Author:小光 Date:2009/07/21 21:27
前幾天我們的馬叔叔弄了個"治國週記"網站,結果18日才一第次公開就被踢爆隔週和隔兩週的都預錄好了,讓總統府顏面無光
好糗!馬「治國週記」首播 被眼尖網友抓包是預錄的
這邊對未來週記本身不予置評,因為我小時後超討厭那種變成作業之一的日記和週記...
不過針對這個事件可以看出,網站的管理者對網站安全性的認知不夠
"千萬不要預期所有來到自己網站上的訪客都會依照自己準備的連結來瀏覽"
以未來週記的例子還說,檔案用日期來命名就是很大的漏洞,造成其他的檔案很容易被猜測出來
例如,我的網頁上準備了090701.htm和090702.htm兩個連結,但是訪客可以擅自把網址改成090703.htm等等,這是管理員必須想到的
另外一個類似的狀況是用序號命名,例如link1,link2...
還有更多延伸的狀況
好糗!馬「治國週記」首播 被眼尖網友抓包是預錄的
這邊對未來週記本身不予置評,因為我小時後超討厭那種變成作業之一的日記和週記...
不過針對這個事件可以看出,網站的管理者對網站安全性的認知不夠
"千萬不要預期所有來到自己網站上的訪客都會依照自己準備的連結來瀏覽"
以未來週記的例子還說,檔案用日期來命名就是很大的漏洞,造成其他的檔案很容易被猜測出來
例如,我的網頁上準備了090701.htm和090702.htm兩個連結,但是訪客可以擅自把網址改成090703.htm等等,這是管理員必須想到的
另外一個類似的狀況是用序號命名,例如link1,link2...
還有更多延伸的狀況
研究: 防治XSS攻擊
Author:小光 Date:2009/04/23 20:25
雖然說跨站的程式碼攻擊並不是什麼新東西,甚至國內不少知名網站過去都有傳過類似的安全漏洞,
不過最近看到自己有在用的twitter被連續XSS攻擊
網路上有人詳細的說明攻擊過程,根本是擋了又被破解連續好幾次,一個知名網站簡直就是被一個小鬼玩弄...
雖然這邊只是個默默無聞的小網站,不過看到這種攻擊不免自己有警覺
所以這幾天其實在研究這類攻擊的防範方法...
有長輩說這根本是杞人憂天,這種默默無聞的小網誌放它100年應該也不會有人來攻擊...
不過實際上,這邊剛啟用沒多久,大約去年中的時候,f2blog爆出xmlrpc有SQL injection可以上傳任意檔案的安全漏洞,這邊cache目錄裡面居然就被不知名的人放了一個執行怪指令的php檔,讓人大吃一驚,從此以後對安全性更加警覺...
所以對這種東西最好不要太鐵齒,以免後悔莫及...
←這是去年10月份的備份檔
去年5月底爆出漏洞,6月隨即被放了檔案,因為檔案藏在不會去注意到的cache裡面,一直在3,4個月後才被我發現
跨網站指令碼 - 維基百科
XSS攻擊簡單的說,就是攻擊者在有漏洞的網頁上貼一段javascript程式(或連結),該程式就會竊取訪問該網頁使用者儲存的資料(主要是瀏覽器的cookie資訊),後果是,id和密碼被冒用,如果被竊取的是管理員的帳號,那更是\(^o^)/...
所以從XSS攻擊的特性,可以從兩方面來防範:
不過最近看到自己有在用的twitter被連續XSS攻擊
網路上有人詳細的說明攻擊過程,根本是擋了又被破解連續好幾次,一個知名網站簡直就是被一個小鬼玩弄...
雖然這邊只是個默默無聞的小網站,不過看到這種攻擊不免自己有警覺
所以這幾天其實在研究這類攻擊的防範方法...
有長輩說這根本是杞人憂天,這種默默無聞的小網誌放它100年應該也不會有人來攻擊...
不過實際上,這邊剛啟用沒多久,大約去年中的時候,f2blog爆出xmlrpc有
所以對這種東西最好不要太鐵齒,以免後悔莫及...
←這是去年10月份的備份檔
去年5月底爆出漏洞,6月隨即被放了檔案,因為檔案藏在不會去注意到的cache裡面,一直在3,4個月後才被我發現
跨網站指令碼 - 維基百科
XSS攻擊簡單的說,就是攻擊者在有漏洞的網頁上貼一段javascript程式(或連結),該程式就會竊取訪問該網頁使用者儲存的資料(主要是瀏覽器的cookie資訊),後果是,id和密碼被冒用,如果被竊取的是管理員的帳號,那更是\(^o^)/...
所以從XSS攻擊的特性,可以從兩方面來防範:
- 1
Subscribe recent comment
