]

Tuesday, November 21, 2006

十多分鐘抵禦XSS的神奇技術?

筆者今天一上班,MSN 和 IRC 上就被自由時報 『無名小站遇「駭」 個資流入中國』『無名小站:被竊資料僅13筆』的新聞一直狂炸,炸到我快要罵髒話了 .....差點要把暱稱改成 "不要再跟我說無名被hack,我已經知道了!!!!!!" orz

為了避免下班還要再遭受一輪火力掃射,趕緊再來寫這篇文章。其實有名大站的說法,在略懂資安技術的筆者眼中,真的是非常神奇的一件事。最無稽的其實有兩點:

1. XSS 攻擊要怎麼在十幾分鐘攻防和逼退對方

面對這段
『林弘全強調,每天都有來自全世界各地的駭客來挑戰,但在站方的努力下,都能擊退對手。 無名小站不論付費或一般會員,個人資料保護都是用最高等級,並不會有差異,網友可以放心使用。』
所謂的最高等級的個人資料保護是所謂的 "404 Not Found" 技術嗎? 因為在筆者的印象中,有名大站大站最厲害的也只有這個技術了(第二名是無錯技術),無論是舊機器,還是"據說"花千萬購置的新機器,通通內建這個防禦力場,而且尖峰時段保護的最完善,連使用者送出網誌文章也會被系統誤判(?)為攻擊整個吃掉 XD。


2. 13 筆資料?zzZzz ...少打一個字吧?13萬筆應該才是比較合理的數字吧 XD

-----

以下為技術文,我儘量寫的易於理解,如果還是看不懂請 Google 一下。

所謂 XSS(Cross Site Scripting) ,其實並不是什麼狂抽猛送灌流量的攻擊技術,所以並不會有攻防逼退對方的情形產生。它的手法類似於釣魚詐騙,誘騙使用者點擊陷阱頁面上當(比如說,在 PTT 上說自己的網誌 / 相簿上面擺了很多正妹精選,然後開連結給大家點)以後,Cookie(身份識別)就流入有心人手中,有心人再以該使用者的 Cookie 偽造成當事人,偷偷自動對 Server 發出要求送出OO資料或是接收XX資料。接收 XX 資料可能就是接收你的"個人資料"頁面(可能含密碼與真實個人資訊),而送出 OO 資料可能就是送出修改你的"某個公開頁面"的請求,製造出下一個詐騙網頁讓更多人無意間被套取資料。而這都是使用者無法察覺到的事。而造成會有這種安全隱憂的前提,都是網頁程式沒有寫好,沒有把使用者所送出的某些可在瀏覽器執行的程式碼(例如 JavaScript ) encode 成為無害的純文字內文送出所發生的。


本站 8/17 號 [淺談] XSS (X*ite So Suck ) 有更精確的手法,與國外 Myspce 被 XSS 瞬間翻掉的實例,受害用戶高達百萬人。當時Xuite 曾被筆者發現有此漏洞,揭露在本網誌數天後已修補,現在還存不存在其他可入侵的漏洞,筆者還要回去查查 XD。


所以有名大站向記者給出這些回答
1. 八月中發現及修補
2. 十數分鐘攻防&擊退論
3. 13 筆資料

是非常可笑的。

第一,有名大站存在這個安全漏洞並不是在八月中才被揭示的。Google 一下 "無名小站 XSS" ,可以看到這個漏洞早在今年一月間就在知名的太天位大長輩 Blog 刊登了。據說,有名大站也老早就耳聞這個漏洞的存在。半年才做出修補動作,真是匪夷所思。(流出的資料不知道已經多少筆了)

第二,十數分鐘攻防和擊退論,筆者真的不知道這個說法怎麼來的。這種攻擊手法除了拔網路線以外要怎麼檔。擊退更是可笑。管理者能作的,只有修補漏洞阻止災害的擴大。不過強者如有名大站,可能還有 "404 Not Found" 力場可以擋一擋吧.....XD

第三,13 筆資料外洩。摸摸你的 LP,你真的相信這個說法嗎?

第四,只有使用者上當的話,災害可大可小,隨使用者影響力而定(一般鄉民和彎彎之流大的 Blogger 所造成的影響範圍就不同)。普通的會員還無所謂,頂多被當詐騙跳板,如果刊假資料、設不常用密碼,一點也不痛不癢。但是 VIP 呢,有名大站還限定 VIP 需填寫真實資料,傳真雙證件驗證等等 ....噗XD。再者,真的只有使用者受害嗎?希望僅只如此,因為如果是管理者、客服人員受害?它們的密碼外洩,那造成的危害就不是那麼簡單了。

被攻擊盜資料已經很可憐了,只要好好道歉,坦承疏失承諾承認下次改進,相信也沒人會繼續責怪你。有名大站面對這麼大的資安危機,所做的竟然也是承繼以往,掰一些用 google 就可以戳破的謊話。只能說,唉 .....

0 Comments:

Post a Comment

Subscribe to Post Comments [Atom]

<< Home