關鍵字廣告雲端運算網址申請網站代管資安服務SSL 數位憑證

2014/04/16 星期三

WIS 匯智虛擬主機代管服務

客服專線:02-2718-7200

繁體中文

簡體中文

Japanese

English

Site Map

Facebookgoogle+instagramblog

服務諮詢

請撥:02-2718-7200

服務列表

網址申請

網址申請

網址續約

虛擬主機

Windows 主機

Linux 主機

MSSQL 主機

經銷型主機

郵件主機

OfficeMail 企業郵件代管

OfficeMail 企業郵件備份

雲端運算

匯智管理雲

IDC 服務

Colocation

主機代管

實體主機

廣告活動主機

影音串流主機

FTP 主機

主機管理服務

IDC 機房介紹

資安服務

資安服務

HackerScan 網頁掛馬入侵偵測

主機資料異地(機)備援

網路應用

SSL 數位憑證

網路金流服務

網頁設計介紹

繁簡轉換引擎

搜尋行銷‧媒體採購

關鍵字廣告

42 廣告

客服中心

客服文件下載

付款方式

服務聯繫

FAQ問答集

市場快訊

經濟部推出「網站身份識別標章」

一旦通過即代表該網站擁有正牌網站辨識、EV-SSL安全傳輸加密、無惡意掛馬程式的三重安全驗證保障

廣告活動主機

租賃期最短 2 週,費用只要2萬起!新方案真划算!



WIS 匯智的 Google+ 專頁
首頁 > 企業動態 > 教學應用

總統府網站遭利用 XSS 漏洞攻擊,什麼是 XSS?



最近總統府的網站出現了跳 Sorry Sorry的影片內容,讓我們了解到雖然攻擊的手法一直在推陳出新,但是傳統的 XSS 的弱點還是有許多網站沒有注意到,讓一些惡意程式或者有心人士有機可乘。

簡單來說 XSS(Cross-Site Script) 跨站腳本攻擊是網站對使用者的輸入資料沒有做檢驗,讓駭客將攻擊用的 script 語法,接在 http 連結的後面,讓正常連結的人看到其它內容嵌入現有的網頁(如總統府的 sorry sorry 影片)或者背後偷偷下載或執行惡意程式,造成電腦中毒或被植入木馬。

例如:
正常連結為
http://x.x.x.x/ask.php?user=john
被植入xss 的連結 :
http://x.x.x.x/asp.php?user=<script>alert('寫入想彈出的訊息');< /script>
或者留言版被輸入下列程式碼;
<iframe src= "javascript:document.location.href='http://www.yahoo.com.tw';"></iframe>

當駭客在你沒有過濾過的網址參數後面,加入 script  或者沒有過濾的留言板,就可能讓你去連結該惡意網頁的程式時讓你的電腦受到傷害。

所以 XSS 攻擊的防禦方法最終還是要回歸於程式開發人員對於欄位的過濾及判斷,處理的程序如下:
1.、變數回傳的時候就必需再作過濾一次,以網頁來說,所有呈現在網站上的內容或從資料庫擷取出來時都需要再作 url encode 或 html encode 的過濾;
2、輸入欄位的檢核,這是最常發生的,許多的網站有聯絡我們或者是留言板的表單,需對欄位再作進一步的檢核,不可以相信瀏覽器所傳來的資料,也要加入驗證碼以減低被惡意搜尋程式攻擊的機會。

其實對於欄位的輸入及呈現多一分的小心及檢核,就可以大大的加強網站的基本安全。

 

WIS 匯智企業網路服務:虛擬主機雲端運算實體主機主機代管資安服務SSL 憑證網址申請關鍵字廣告網路行銷關鍵字廣告基地

匯智資訊股份有限公司 版權所有 統一編號:70450669

地址:10544 台北市松山區復興北路 337 號惠普大樓 6 樓 客服專線:02-2718-7200 傳真:02-2718-1922