Archive

文章標籤 ‘xss’

防範惡意程式 無名小站全面禁加Javascript(IThome,2008/10/14)

2008年10月15日 尚無評論

剛看到這則,應該是樹大招風造成的啦,當禁止後,我想應該使用者反應會很強烈吧,因為就是那些javascript小東東才有辦法讓自己的blog更活潑熱鬧點,還有也有許多web 2.0應用是透過javascript帶來的,看來當開放後再關閉一定會有很大的反對聲音。不知會不會因此所以環境遭受巨變,而造成部落遷徙呀~呵!!小弟覺得,還是要適度的開放,才能讓blog發展的更好!!

此外,這則裡提到資安人員的話真的是很好笑,看似專業但又失專業,禁用Javascript可以說是最全面的保障措施,這種話隨便人都可以說的,小弟認為要學學大考中心,先前出來說電腦絕對安全不會被駭客入侵,因為電腦網路線是沒有插的….^^  

防範惡意程式 無名小站全面禁加Javascript   文/趙郁竹 2008-10-14

資安組織chroot日前發出一份公告,指出無名小站存在XSS漏洞,這很有可能才是無名緊急修改政策的真正原因。

無名小站週一貼出公告,今天(10/14)中午開始全面禁止新增、修改Javascript語法。根據無名表示,此舉為考量網友使用安全,不過使用者往後將不得再新增小時鐘、音樂播放、聯播貼紙、聯播廣告等利用Javascript放置的外掛程式。

無名小站在公告中指出,為了避免有心人士藉由惡意程式語法散佈病毒或木馬程式,今天開始網誌邊欄和網誌敘述將不提供新增置放Javascript語法之功能。不過據了解,資安組織chroot日前發出一份公告,指出無名小站存在跨站腳本攻擊漏洞(XSS, Cross-Site Scripting),這很有可能才是無名緊急修改政策的真正原因。

Yahoo!奇摩公關經理吳苑如回應表示,透過語法可進行的惡意攻擊很多,如果駭客攻擊的是網站平台,平台可以有效控制;不過若是攻擊瀏覽者,就難以預防。因此雖然禁用Javascript會造成使用者些許不便,卻是較能保障網友瀏覽安全的做法。

事實上,無名在今年3月時已經開始修改語法使用規定,除了網誌邊欄和網誌敘述外,不得新增、修改Javascript。這次全面禁用Javascript,也是上一波管理政策的延伸。吳苑如強調,以前置入的語法還會繼續運作,只是不能修改、新增,工程人員未來會在確認安全無虞之後逐步開放邊欄可運用的Javascript。

對於無名以此種方式強化平台安全性,不願具名的資安專家表示,禁用Javascript可以說是最全面的保障措施,雖然可透過後台機制解決,「不過就算防了999項,只要漏了一項還是會出事。」他說,從資安角度來看,對於無名的做法他相當認同。

但也有其他資安專家持不同看法,專門揭露台灣網站被植入惡意連結、存在XSS或其他安全漏洞的部落客邱春樹(Roger)就認為,無名直接限制Javascript對於使用者影響太大,並非最好的處理方式,應該可以從無名本身系統防護進行檢視。不過透過Javascript植入惡意程式的確是網站很容易遇到的問題,可以說相當普遍。

目前也有業者採用和無名相同做法,如wordpress也是完全限制javascript。痞客幫(Pixnet)則未限制,而是從系統面加強安全性。Pixnet日前才因安全考量進行後台大改版,在後端程式碼、網站架構都提升了安全性。並將前後台網域拆開,也可降低遭XSS攻擊的風險。

Categories: 新知 Tags: ,

XSS(Cross Site Scripting) 介紹

2008年8月16日 尚無評論

      最近拜網路頻寬的提升,WEB的特效愈來愈多,提供的功能及服務也愈來愈能滿足大眾的口味,在WEB愈來能愈能做出有如應用程式般效果的同時,危險因子也愈來愈多及難防範,接下來介紹的XSS是在近幾年攻擊的主流,雖說以往就有在web上出現過類似的攻擊模式,就如同Ajax一般以往就能做出等同效果,不過現在熱門囉!! 以前網頁bomo已經落伍了,XSS攻擊已經超出想像般的可怕…以下是在網路上看了一些文章後,大約整理一下並加上自己的看法..

     XSS的全稱是Cross Site Scripting,意思是跨網站腳本程式這第一個單詞是Cross,為什麼縮寫成X呢?因為CSS是層疊樣式表的縮寫(Cascading Style Sheets)的縮寫,同時Cross發音和X相似,為了避免混淆用X來代替,縮寫成XSS。其實我覺得叫XSS挺合適的,因為現在流行AJAX嘛,新的跨站腳本攻擊技術很多都是和XMLHTTP控制項無間配合。它指的是惡意攻擊者往Web頁面裏插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裏面的html代碼會被執行,從而達到惡意用戶的特殊目的。XSS屬於被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性。
這個問題所帶來的影響遠超過突如其來的打擾或惡作劇。透過擷取您的 cookies 資料(一種儲存在個人瀏覽器的暫存資訊),跨網站攻擊程式能夠讓攻擊者取得您網站的管理者權限。

     這是如何發生的呢?主要是網站系統並沒有過濾使用者提供的資訊就顯示在畫面中,再利用網頁執行的特性,在使用端執行那些會危害或竊取使用者隱私資訊;就像一個使用者上傳了留言、評論或甚至是一個帳號與密碼,如果這些資訊接下來會顯示在網頁中,這時就可以在上頭動些手腳以達到想攻擊入侵的目的。作法有點像SQL Injection攻擊(改天再來介紹),只是攻擊的目標從資料庫換成使用者或系統。

     這些內容也許是無傷大雅的(例如惡作劇),也或者會是嘗試要取得私人資訊的惡意程式碼,藉此闖入您的系統。簡單來說通常這些攻擊內容會以程式碼的形式存在,因此才會取名為 '跨網站攻擊程式'。

一般XSS攻擊會有下面二種類型的攻擊:
1.比較不會造成傷害的跨網站攻擊形式

  • 嘗試要破壞網頁畫面配置與內容
  • 惡作劇程式、顯示討厭的訊息、廣告視窗等程式或物件

2.比較嚴重的跨網站攻擊形式:

  • 產生可以誤導人們的網站連結,透過這些連結來引發一些動作,像是登出、發佈文章或是修改密碼等
  • 程式或帶有 “(script removed)” 的連結用來從 cookies 中蒐集個人資訊,接著將它們傳送到第三個網站,藉此取得系統的管理者權限
  • 嘗試攻擊特定瀏覽器已知安全弱點的物件或外掛程式

     一般系統有使用所見即所得功能的,危安因素更大,因為真的很難防,目前市面上似乎還沒有一整套完整又簡單使用的防範方式,看來在提供強大的功能及服務的同時,要小心想想會不會造成上述攻擊,這次就先介紹到此!!

參考資料:
http://twpug.net/modules/smartsection/item.php?itemid=34
http://bbs.flash2u.com.tw/dispbbs_171_87491.html

Categories: WebDesign Tags: ,