- 取得連結
- 以電子郵件傳送
- 其他應用程式
平常在看不知名人士的部落格時,
也許會被一些部落格元件給吸引,覺得自己也想用一個,
就隨便把來路不明的部落格元件掛到了自己的部落格,
過沒多久卻發現一些私人文章、上鎖文章、甚至完全沒有公開的相簿,
在別處被人完完整整,臉紅心跳的貼出來(這不是塵灌吸~這不是塵灌吸~)
通常人的第一反應,都是:"我的電腦中毒了",
然後就 正妹 找 好人,好人去 黃色鬼屋,辛辛苦苦的把電腦重灌完畢,
接著平靜的生活過沒多久,同樣的事情又發生了,陷入無盡的重灌...(鄉民也開心的無盡的抓~~喂)
其實~~這最大的元兇也許就是那個來路不明的部落格元件,元件內可能包含了 XSS 攻擊的程式碼!
而不是自己的電腦中毒所造成的資料外流。
Q:沒有辦法防範XSS攻擊嗎?
A:XSS的攻擊是非常難看出的,因為它完全不會破壞你的系統。只能消極的慎選自己平時逛的網站,不要使用來路不明的部落格元件,一定要養成登出後再關閉瀏覽器的好習慣,最後一個良心的建議:敢放上網的東西,就不要怕被人看...XD
Q:walkOne會有此問題嗎?
A:目前 walkOne 的登入機制採 IP+cookies+多網認證制,且有提供高安全性模登入模式,安全性較高。
以下是寫給網站開發人員看的,不懂的人請把它當是我的碎碎唸吧!
基於網站開發人員有義務把會員的資料做到最嚴密的流出保護,
我們必須設法阻斷XSS攻擊,以下是重點:
訪客未登入的系統 key 值在 front.net 與 back.net 相同,
當訪客從 back.net 登入後,會有一固定的新系統 key 值,
同時存於 front.net 及 back.net ,並在 back.net 建立 cookies,
再將已登入的訪客導至 front.net ,且也於 front.net 建立 cookies,
正常訪客身上將同時帶有 front.net 及 back.net 的認證 cookies,
當 XSS 攻擊者偷取cookies時,僅能偷取到 front.net 的 cookies,
只要 XSS 攻擊者沒有真正於 back.net 上建立過 cookies,
則back.net會一直回傳未登入的系統 key 值,
於是當訪客登入後在 front.net 操作時,
判斷 front.net 的系統 key 值與 back.net 傳回的系統 key 值是否相等,
即可判斷該訪客是否有透過正常管道登入。
至於如何在 front.net 的頁面中取得 back.net 的 cookies,
可以參考 jQuery 1.3.1 Ajax Cross Domain JSP Demo
也許會被一些部落格元件給吸引,覺得自己也想用一個,
就隨便把來路不明的部落格元件掛到了自己的部落格,
過沒多久卻發現一些私人文章、上鎖文章、甚至完全沒有公開的相簿,
在別處被人完完整整,臉紅心跳的貼出來(這不是塵灌吸~這不是塵灌吸~)
通常人的第一反應,都是:"我的電腦中毒了",
然後就 正妹 找 好人,好人去 黃色鬼屋,辛辛苦苦的把電腦重灌完畢,
接著平靜的生活過沒多久,同樣的事情又發生了,陷入無盡的重灌...(鄉民也開心的無盡的抓~~喂)
其實~~這最大的元兇也許就是那個來路不明的部落格元件,元件內可能包含了 XSS 攻擊的程式碼!
而不是自己的電腦中毒所造成的資料外流。
Q:沒有辦法防範XSS攻擊嗎?
A:XSS的攻擊是非常難看出的,因為它完全不會破壞你的系統。只能消極的慎選自己平時逛的網站,不要使用來路不明的部落格元件,一定要養成登出後再關閉瀏覽器的好習慣,最後一個良心的建議:敢放上網的東西,就不要怕被人看...XD
Q:walkOne會有此問題嗎?
A:目前 walkOne 的登入機制採 IP+cookies+多網認證制,且有提供高安全性模登入模式,安全性較高。
以下是寫給網站開發人員看的,不懂的人請把它當是我的碎碎唸吧!
基於網站開發人員有義務把會員的資料做到最嚴密的流出保護,
我們必須設法阻斷XSS攻擊,以下是重點:
訪客未登入的系統 key 值在 front.net 與 back.net 相同,
當訪客從 back.net 登入後,會有一固定的新系統 key 值,
同時存於 front.net 及 back.net ,並在 back.net 建立 cookies,
再將已登入的訪客導至 front.net ,且也於 front.net 建立 cookies,
正常訪客身上將同時帶有 front.net 及 back.net 的認證 cookies,
當 XSS 攻擊者偷取cookies時,僅能偷取到 front.net 的 cookies,
只要 XSS 攻擊者沒有真正於 back.net 上建立過 cookies,
則back.net會一直回傳未登入的系統 key 值,
於是當訪客登入後在 front.net 操作時,
判斷 front.net 的系統 key 值與 back.net 傳回的系統 key 值是否相等,
即可判斷該訪客是否有透過正常管道登入。
至於如何在 front.net 的頁面中取得 back.net 的 cookies,
可以參考 jQuery 1.3.1 Ajax Cross Domain JSP Demo
留言