平常在看不知名人士的部落格時,

也許會被一些部落格元件給吸引,覺得自己也想用一個,

就隨便把來路不明的部落格元件掛到了自己的部落格,

過沒多久卻發現一些私人文章、上鎖文章、甚至完全沒有公開的相簿,

在別處被人完完整整,臉紅心跳的貼出來(這不是塵灌吸~這不是塵灌吸~)


通常人的第一反應,都是:"我的電腦中毒了",

然後就
正妹
找
好人
,好人去 黃色鬼屋,辛辛苦苦的把電腦重灌完畢
,

接著平靜的生活過沒多久,同樣的事情又發生了,陷入無盡的重灌...(鄉民也開心的無盡的抓~~喂)


其實~~這最大的元兇也許就是那個來路不明的部落格元件,元件內可能包含了 XSS 攻擊的程式碼!

而不是自己的電腦中毒所造成的資料外流。


Q:沒有辦法防範XSS攻擊嗎?

A:XSS的攻擊是非常難看出的,因為它完全不會破壞你的系統。只能消極的慎選自己平時逛的網站,不要使用來路不明的部落格元件,一定要養成登出後再關閉瀏覽器的好習慣,最後一個良心的建議:
敢放上網的東西,就不要怕被人看
…XD


Q:walkOne會有此問題嗎?

A:目前 walkOne 的登入機制採 IP+cookies+多網認證制,且有提供高安全性模登入模式,安全性較高。


以下是寫給網站開發人員看的,不懂的人請把它當是我的碎碎唸吧!


基於網站開發人員有義務把會員的資料做到最嚴密的
流出
保護,

我們必須設法阻斷XSS攻擊,以下是重點:


訪客未登入的系統 key 值在 front.net 與 back.net 相同,

當訪客從 back.net 登入後,會有一固定的新系統 key 值,

同時存於 front.net 及 back.net ,並在 back.net 建立 cookies,

再將已登入的訪客導至 front.net ,且也於 front.net 建立 cookies,

正常訪客身上將同時帶有 front.net 及 back.net 的認證 cookies,

當 XSS 攻擊者偷取cookies時,僅能偷取到 front.net 的 cookies,

只要 XSS 攻擊者沒有真正於 back.net 上建立過 cookies,

則back.net會一直回傳未登入的系統 key 值,

於是當訪客登入後在 front.net 操作時,

判斷 front.net 的系統 key 值與 back.net 傳回的系統 key 值是否相等,

即可判斷該訪客是否有透過正常管道登入。

至於如何在 front.net 的頁面中取得 back.net 的 cookies,

可以參考 jQuery 1.3.1 Ajax Cross Domain JSP Demo

My Blog 
發表留言