[HS] 沒有「看的到」的欄位就不可以 XSS? (Photo.xuite)

開站以來，筆者收到一些外界指教。對於 [HS] 這類文章的指教，筆者一向都是很謹慎處理的，一向會告誡大家絕對不能犯法，畢竟這是某資安界團體CEO所慎重交代大家的。（喔，澄清一點本站的HS爆料並非由該位 CEO 執筆，因為他老人家收山正派經營去了）

因為接下來的回應太長，可能塞不下欄位，於是筆者新開一篇專欄來寫 :)
在 xuitejoke@xuite 有一位 Qoo Audi 先生，對 XSS 是否能在 photo.xuite 實施攻擊存著強烈質疑的態度。



詳細的問與答在這裡。另外要請 Qoo Audi 先生原諒我公開它的悄悄話，因為此段悄悄話也與本篇文章有關

Qoo Audi　(這則留言是悄悄話) 2006-08-02 21:36

Hi, 您好,

我很好奇 Xuite Photo 哪邊有 XSS Security issue。據我所知它並沒有自由欄位，使用者該如何加上其他 Script 呢?

----
筆者是念數學系的。對於邏輯關係上也很謹慎。回答之前筆者要先瞭解一下這位先生在說什麼。

• 按照 Qoo Audi 先生的說法，若 P 則 Q 。「我朋友不知道什麼是 CISSP & LPIC-2 -> XSS attack 在 Photo.Xuite 不會成功 」；那換句話說，非Q則非P。「XSS attack 在 Photo.Xuite 會成功 ->我朋友知道什麼是 CISSP & LPIC-2 」

以下為筆者的證明式



所以我們可以得出「我朋友知道什麼是 CISSP & LPIC-2 」。（噗，這是什麼鬼結論?）

----

• 好吧，那我換個方式理解 Qoo Audi 先生到底是要講些什麼好了？他會問「我朋友知不知道什麼是 CISSP & LPIC-2?」前，一定有個Lama「他知道什麼是 CISSP &LPIC-2-> 我朋友不知道 -> 所以 XSS Attack 在 Photo.Xuite 不會成功」是成立的。

• .....等等，這樣怪怪的。「Qoo Audi 先生知道這兩個證照，關 Hinet 能不能檔 XSS Attack 什麼事啊？」。除非又有個前提，「Qoo Audi 先生是 Hinet 負責此項業務的工程師，他知道有這兩張證照」。

• 咦，但是好像我們還有一項還沒有證明耶。「知道這兩個證照就可以檔 XSS Attack 」？....不可能這麼爽吧，知道又不等於拿到。不過我好像證明過程寫太多了，直接給推出的結論好了XD。Qoo Audi 先生要講的是「Qoo Audi 先生有這兩張證照，而且他是 Hinet 負責此項業務的工程師。他有這兩張證照，所以 Photo.Xuite 可以抵擋 XSS 攻擊」

• 但是筆者覺得很奇怪的一點是：Web App Vuln 到底跟資訊安全管理、設備安全和Server安全的證照有什麼直接關係？還是 Qoo Audi 先生的認知是「Qoo Audi 有兩張安全證照 -> Qoo Audi 資安超強 -> Qoo Audi 在 Hinet 負責的業務絕對不可能有漏洞」？這個我們可能就不得而知了，可能還是要問一下本人會比較好。

另外，Qoo Audi 先生在悄悄話中又提到了「沒有自由欄位要怎樣輸入Script呢？」。我想，這位先生一定沒有參加 Hacks In Taiwan 2006 ， bf 大師今年有開示啊 ! 老師有叫你去聽，你就是沒去聽、沒去聽（摔筆）。


不過講到這個就扼腕，HIT 有個規定，凡在 Conference 中上台展示漏洞者，可得免費門票一張。筆者慨嘆就是太晚寫這個 blog 來挖洞，不然筆早就可以在這場研討會的門口賣大筆黃牛票了呀。


---
另外幫 HIT sandy 姐廣告一下，HIT 紀念 T恤還沒賣完，2005和 2006的都有，一件350元。買了不能檔 XSS Attack ，但是穿起來會很炫。請大家多多支持，可以上sandy姐的拍賣洽詢喔。

---
Upadte : 此篇刊出以後，N**k先生說他也想要刊廣告。如果您怕 PHP code出包的話，可以訂購 CodeSecure for PHP。

另外，本站"目前" 「廣告不收費，收 0day」，謝謝。