十多分鐘抵禦XSS的神奇技術?

筆者今天一上班，MSN 和 IRC 上就被自由時報 『無名小站遇「駭」 個資流入中國』『無名小站：被竊資料僅13筆』的新聞一直狂炸，炸到我快要罵髒話了 .....差點要把暱稱改成 "不要再跟我說無名被hack，我已經知道了!!!!!!" orz

為了避免下班還要再遭受一輪火力掃射，趕緊再來寫這篇文章。其實有名大站的說法，在略懂資安技術的筆者眼中，真的是非常神奇的一件事。最無稽的其實有兩點：

1. XSS 攻擊要怎麼在十幾分鐘攻防和逼退對方？

面對這段

『林弘全強調，每天都有來自全世界各地的駭客來挑戰，但在站方的努力下，都能擊退對手。 無名小站不論付費或一般會員，個人資料保護都是用最高等級，並不會有差異，網友可以放心使用。』

所謂的最高等級的個人資料保護是所謂的 "404 Not Found" 技術嗎? 因為在筆者的印象中，有名大站大站最厲害的也只有這個技術了（第二名是無錯技術），無論是舊機器，還是"據說"花千萬購置的新機器，通通內建這個防禦力場，而且尖峰時段保護的最完善，連使用者送出網誌文章也會被系統誤判(?)為攻擊整個吃掉 XD。


2. 13 筆資料？zzZzz ...少打一個字吧？13萬筆應該才是比較合理的數字吧 XD

-----

以下為技術文，我儘量寫的易於理解，如果還是看不懂請 Google 一下。

所謂 XSS（Cross Site Scripting) ，其實並不是什麼狂抽猛送灌流量的攻擊技術，所以並不會有攻防與逼退對方的情形產生。它的手法類似於釣魚詐騙，誘騙使用者點擊陷阱頁面上當（比如說，在 PTT 上說自己的網誌 / 相簿上面擺了很多正妹精選，然後開連結給大家點）以後，Cookie（身份識別）就流入有心人手中，有心人再以該使用者的 Cookie 偽造成當事人，偷偷自動對 Server 發出要求送出OO資料或是接收XX資料。接收 XX 資料可能就是接收你的"個人資料"頁面（可能含密碼與真實個人資訊），而送出 OO 資料可能就是送出修改你的"某個公開頁面"的請求，製造出下一個詐騙網頁讓更多人無意間被套取資料。而這都是使用者無法察覺到的事。而造成會有這種安全隱憂的前提，都是網頁程式沒有寫好，沒有把使用者所送出的某些可在瀏覽器執行的程式碼（例如 JavaScript ) encode 成為無害的純文字內文送出所發生的。


本站 8/17 號 [淺談] XSS (X*ite So Suck ) 有更精確的手法，與國外 Myspce 被 XSS 瞬間翻掉的實例，受害用戶高達百萬人。當時Xuite 曾被筆者發現有此漏洞，揭露在本網誌數天後已修補，現在還存不存在其他可入侵的漏洞，筆者還要回去查查 XD。


所以有名大站向記者給出這些回答

1. 八月中發現及修補
2. 十數分鐘攻防&擊退論
3. 13 筆資料

是非常可笑的。

第一，有名大站存在這個安全漏洞並不是在八月中才被揭示的。Google 一下 "無名小站 XSS" ，可以看到這個漏洞早在今年一月間就在知名的太天位大長輩 Blog 刊登了。據說，有名大站也老早就耳聞這個漏洞的存在。半年才做出修補動作，真是匪夷所思。（流出的資料不知道已經多少筆了）

第二，十數分鐘攻防和擊退論，筆者真的不知道這個說法怎麼來的。這種攻擊手法除了拔網路線以外要怎麼檔。擊退更是可笑。管理者能作的，只有修補漏洞阻止災害的擴大。不過強者如有名大站，可能還有 "404 Not Found" 力場可以擋一擋吧.....XD

第三，13 筆資料外洩。摸摸你的 LP，你真的相信這個說法嗎？

第四，只有使用者上當的話，災害可大可小，隨使用者影響力而定（一般鄉民和彎彎之流大的 Blogger 所造成的影響範圍就不同）。普通的會員還無所謂，頂多被當詐騙跳板，如果刊假資料、設不常用密碼，一點也不痛不癢。但是 VIP 呢，有名大站還限定 VIP 需填寫真實資料，傳真雙證件驗證等等 ....噗XD。再者，真的只有使用者受害嗎？希望僅只如此，因為如果是管理者、客服人員受害？它們的密碼外洩，那造成的危害就不是那麼簡單了。

被攻擊盜資料已經很可憐了，只要好好道歉，坦承疏失承諾承認下次改進，相信也沒人會繼續責怪你。有名大站面對這麼大的資安危機，所做的竟然也是承繼以往，掰一些用 google 就可以戳破的謊話。只能說，唉 .....