無賴性笑話 21 Nov 2006 07:09 pm
|
推到 Twitter!
推到 Plurk!
|
十多分鐘抵禦XSS且擊退攻擊的神奇技術?
筆者今天一上班,MSN 和 IRC 上就被自由時報 『無名小站遇「駭」 個資流入中國』『無名小站:被竊資料僅13筆』的新聞一直狂炸,炸到我快要罵髒話了 …..差點要把暱稱改成 "不要再跟我說無名被hack,我已經知道了!!!!!!" orz
為了避免下班還要再遭受一輪火力掃射,趕緊再來寫這篇文章。其實有名大站的說法,在略懂資安技術的筆者眼中,真的是非常神奇的一件事。最無稽的其實有兩點:
1. XSS 攻擊要怎麼在十幾分鐘攻防和逼退對方?
面對這段
『林弘全強調,每天都有來自全世界各地的駭客來挑戰,但在站方的努力下,都能擊退對手。 無名小站不論付費或一般會員,個人資料保護都是用最高等級,並不會有差異,網友可以放心使用。』
所謂的最高等級的個人資料保護是所謂的 "403 Forbidden" 和 "503 Service Unavailable" 技術嗎? 因為在筆者的印象中,有名大站大站最厲害的也只有這個技術了(第二名是無錯技術),無論是舊機器,還是"據說"花千萬購置的新機器,通通內建這個防禦力場,而且尖峰時段保護的最完善,連使用者送出網誌文章也會被系統誤判(?)為攻擊整個吃掉 XD。
2. 13 筆資料?zzZzz …少打一個字吧?13萬筆應該才是比較合理的數字吧 XD
—–
以下為技術文,我儘量寫的易於理解,如果還是看不懂請 Google 一下。
所謂 XSS(Cross Site Scripting) ,其實並不是什麼狂抽猛送灌流量的攻擊技術,所以並不會有攻防與逼退對方的情形產生。它的手法類似於釣魚詐騙,誘騙使用者點擊陷阱頁面上當(比如說,在 PTT 上說自己的網誌 / 相簿上面擺了很多正妹精選,然後開連結給大家點)以後,Cookie(身份識別)就流入有心人手中,有心人再以該使用者的 Cookie 偽造成當事人,偷偷自動對 Server 發出要求送出OO資料或是接收XX資料。接收 XX 資料可能就是接收你的"個人資料"頁面(可能含密碼與真實個人資訊),而送出 OO 資料可能就是送出修改你的"某個公開頁面"的請求,製造出下一個詐騙網頁讓更多人無意間被套取資料。而這都是使用者無法察覺到的事。而造成會有這種安全隱憂的前提,都是網頁程式沒有寫好,沒有把使用者所送出的某些可在瀏覽器執行的程式碼(例如 JavaScript ) encode 成為無害的純文字內文送出所發生的。
本站 8/17 號 [淺談] XSS (X*ite So Suck ) 有更精確的手法,與國外 Myspce 被 XSS 瞬間翻掉的實例,受害用戶高達百萬人。當時Xuite 曾被筆者發現有此漏洞,揭露在本網誌數天後已修補,現在還存不存在其他可入侵的漏洞,筆者還要回去查查 XD。
所以有名大站向記者給出這些回答
1. 八月中發現及修補
2. 十數分鐘攻防&擊退論
3. 13 筆資料
是非常可笑的。
第一,有名大站存在這個安全漏洞並不是在八月中才被揭示的。Google 一下 "無名小站 XSS" ,可以看到這個漏洞早在今年一月間就在知名的太天位大長輩 Blog 刊登了。據說,有名大站也老早就耳聞這個漏洞的存在。半年才做出修補動作,真是匪夷所思。(流出的資料不知道已經多少筆了)
第二,十數分鐘攻防和擊退論,筆者真的不知道這個說法怎麼來的。這種攻擊手法除了拔網路線以外要怎麼檔。擊退更是可笑。管理者能作的,只有修補漏洞阻止災害的擴大。不過強者如有名大站,可能還有 "403 / 503" 力場可以擋一擋吧…..XD
第三,13 筆資料外洩。摸摸你的 LP,你真的相信這個說法嗎?
第四,只有使用者上當的話,災害可大可小,隨使用者影響力而定(一般鄉民和彎彎之流大的 Blogger 所造成的影響範圍就不同)。普通的會員還無所謂,頂多被當詐騙跳板,如果刊假資料、設不常用密碼,一點也不痛不癢。但是 VIP 呢,有名大站還限定 VIP 需填寫真實資料,傳真雙證件驗證等等 ….噗XD。再者,真的只有使用者受害嗎?希望僅只如此,因為如果是管理者、客服人員受害?它們的密碼外洩,那造成的危害就不是那麼簡單了。
被攻擊盜資料已經很可憐了,只要好好道歉,坦承疏失承諾承認下次改進,相信也沒人會繼續責怪你。有名大站面對這麼大的資安危機,所做的竟然也是承繼以往,掰一些用 google 就可以戳破的謊話。只能說,唉 …..
—
update:感謝 s3p 指正防禦力場型態
This
work is licensed under a
Creative Commons Attribution-Share Alike 2.5 Taiwan License.
[本文採 cc-by-sa 授權,白話意思就是可以直接轉走,但是要附出處與作者)]
28 Responses to “十多分鐘抵禦XSS且擊退攻擊的神奇技術?”
on 21 Nov 2006 at 8:18 pm 1.wuho said …
XSS 攻擊受到威脅的是『瀏覽』無名網站的使用者,
資料會被竊的也是在這段期間『瀏覽』無名網站的使用者。
在使用者『瀏覽』被植入惡意資料(malicious data)的頁面時,個人資料會被竊。
因此,就算無名及時把 XSS 漏洞補起來,在使用者『瀏覽』已被植入惡意資料的回應及文章時,個人資料仍會被竊。
無名應公布有哪些 blog 遭植入惡意資料,讓『瀏覽』無名網站的使用者判斷自己的資料是否已經外洩,這才是保護個人資料應有的態度!
on 21 Nov 2006 at 8:26 pm 2.wuho said …
『攻防』?
難道是無名查到瀏覽無名網站使用者的個人資料會傳送到某伺服器,
然後與對方伺服器展開『攻防』?
on 21 Nov 2006 at 8:28 pm 3.wuho said …
被竊的個人資料是 13 筆?還是 『13%』
on 21 Nov 2006 at 8:48 pm 4.kevinsigma said …
摸摸我的 LP ~ ~
啊!我不相信!!!我不相信!!![聲嘶力竭,眼眶泛淚]
on 21 Nov 2006 at 9:27 pm 5.s3p said …
404 是圖片叉燒包啦,尖峰時間的是 403 Forbidden 和 503 Service Unavailable 這兩種 XD
on 21 Nov 2006 at 10:43 pm 6.William’s Blog » Blog Archive » XSS 筆記 said …
[...] 十多分鐘抵禦 XSS 且擊退攻擊的神奇技術? [...]
on 21 Nov 2006 at 10:45 pm 7.Hmm.. said …
無名被玩弄不是一天兩天的事了啦…xD
壞農夫都偷看正妹資料= =?
on 21 Nov 2006 at 11:13 pm 8.野貓 said …
就在奇怪這邊怎麼還沒看到這個新聞 :p
原來下班才貼,好乖 XD
on 21 Nov 2006 at 11:23 pm 9.Xuite is a Joke said …
不,是今天公文莫名其妙堆的像山一樣,完全處理不完。
而且昨天下午就很多了,我還故意晚走半小時處理掉一小堆,結果今天又像潮水一樣湧進來。
禮拜一二好像都這樣。囧
on 21 Nov 2006 at 11:34 pm 10.野貓 said …
對了,題外話:
部落格觀察我們修好了,現在放在貘自己買的機器上,
應該不會再有掛掉的問題了,歡迎續用貼紙 XD
on 22 Nov 2006 at 1:57 am 11.艾克索夫實驗室 » 再談 HTML 注入 said …
[...] 這一兩天比較紅的”XSS新聞”, 可以參考XDite的這篇: 十多分鐘抵禦XSS且擊退攻擊的神奇技術? 沒名小站有XSS問題不是一天兩天了. 身為目前第一大的區域性BSP, 應有保障客戶個人資料的義務. 屢屢傳出 XSS 問題, 官方對XSS的解釋也是不及格. [...]
on 22 Nov 2006 at 5:14 pm 12.Fm06 said …
我比較在意是記者在報導中
很歡樂的提醒大家
>教戰守則:勿隨便留真實資料
>如果擔心個人資料遭竊取而洩露,
>百分之百的安全手法,只有不在網路上留任何正確的資料。
對阿我只要登入時輸入非真實的帳號密碼
就不用怕XSS攻擊啦~真是好方法… (爆青筋)
on 22 Nov 2006 at 6:18 pm 13.Maverick said …
對阿對阿!不要留真實的資料,所以請大家愛用身分證字號產生器。反正出的時候電信警察很厲害,還是可以找出來你的身分… (被拖走~
on 22 Nov 2006 at 6:19 pm 14.Maverick said …
“出事的時候”,上面沒打好就送出了 Orz
on 22 Nov 2006 at 8:16 pm 15.CQD said …
看文章的寫法,感覺那個十多分鐘的攻防跟XSS問題應該是兩回事?說不定是兩個獨立事件?
而且報導中提到的大陸網友利用XSS取得無名資料的文章是2006/11/18貼出來的。換句話說XSS漏洞一年了還沒修好,或是還有其他的XSS漏洞。
想看文章請自行Google,我就不提供連結了…
on 22 Nov 2006 at 8:27 pm 16.CQD said …
剛剛測了一下,布丁長輩提到的XSS漏洞是補起來了,但是方式有點寒酸 XD
error=”javascript:alert(document.cookie)”>
不過這應該只對新發的文章有效,至於原本就存在的script…除非一個一個抓出來,不然大概很難救吧。
on 22 Nov 2006 at 8:30 pm 17.CQD said …
唔…這邊的留言竟然支援HTML…糗了[汗]
on 23 Nov 2006 at 1:32 am 18.rw said …
>所以請大家愛用身分證字號產生器。反正出事的時候電信警察很厲害
這樣好像會多一條 詐欺罪
http://www.newslaw.com.tw/article.asp?PID=32
on 23 Nov 2006 at 1:34 am 19.Round 3 - FIGHT said …
我當時在戰場上現場目睹決鬥過程,非常精采。無名小站英勇地把害客擊退,不騙你們,過程如下:
無名小站 HP:394 攻:98 防:66 速:59 技:46 运:53
駭客 HP:352 攻:100 防:75 速:39 技:74 运:50
[無名小站]向[駭客]发起攻击,[駭客]受到146点伤害
[無名小站]发动连击
[無名小站]向[駭客]发起攻击,但是被[駭客]闪开了
[駭客]向[無名小站]发起攻击,[無名小站]受到96点伤害
[無名小站]向[駭客]发起攻击,[駭客]防御,[駭客]受到51点伤害
[駭客]向[無名小站]发起攻击,[無名小站]受到141点伤害
[無名小站]向[駭客]发起攻击,[駭客]受到112点伤害
[駭客]向[無名小站]发起攻击,但是被[無名小站]闪开了
[無名小站]向[駭客]发起攻击,[駭客]受到89点伤害
[駭客]被击败了
萎哉無名小站!
on 23 Nov 2006 at 11:47 am 20.YK Weblog said …
幾則無名的新聞…
首先是中華電信有意併購無名
(記者陳玉娟/台北)Web 2.0網站購併話題持續發燒,以部落格(Blog)與
線上相簿聞名的社群網站無名小站近期更成為火紅焦點;繼先前傳出雅虎奇摩
有意以逾….
on 23 Nov 2006 at 11:48 am 21.YK Weblog » Blog Archive » 幾則無名的新聞 said …
[...] 第二則新聞來自XDite 十多分鐘抵禦XSS且擊退攻擊的神奇技術? 祝福載無名落腳的朋友一切無恙…… [...]
on 23 Nov 2006 at 7:51 pm 22.Elaine said …
我想請教諸多高手
是不是因為無名新增了這個
error=”javascript:alert(document.cookie)”>
才導致艾瑪反應無法在邊欄新增 javascript?
如果是這樣,本來就只有 VIP(而且印象中還是金卡VIP)才能用 javascript,現在又直接拿掉這項 VIP 的權利…?
on 24 Nov 2006 at 4:57 am 23.Missagain ﹎/﹊ fafa's MoeMoeArt said …
十幾分鐘跟XSS激鬥的偉大傳說…
讓我們用「科幻」的角度來看待這場跨世紀的偉大攻防戰!!!…
on 12 Aug 2007 at 11:45 pm 24.cmchao said …
今天看到有趣的東西,回一下這篇http://www.cmd5.com/default.aspx 提供一個MD5 hash
比對的服務,在他的介紹裡有一段話另人有遐想
“另加入了某大型網站真實會員密碼數據10萬條”,和13萬好像差不多…:P
on 26 Sep 2007 at 11:52 pm 25.Blog.XDite.net » 淺談 BBS 資料的安全性 said …
[...] 所以去年無名小站的與駭客拉鋸激戰十幾分鐘,和被盜十三筆資料那是唬人的,會相信這番說詞的是丁丁。 [...]
on 27 Sep 2007 at 9:35 am 26.mabel said …
btw, 其實對岸訪問很多臺灣網站都是有限制的
以前我很喜歡看無名的, 現在被 Great Fire Wall (國內的防火墻) 屏蔽了, 看不了, 淚奔。。。
其實這里知道無名的人不多, 100個里面都沒有1個的。。。
攻擊cc的人就一定是大陸的么??
on 14 Oct 2008 at 1:49 am 27.Blog.XDite.net » 無名小站自 10/14 起禁止新增 javascript 的原因 - XSS said …
[...] 關於什麼是 XSS, 可以參考敝人舊文 十多分鐘抵禦XSS且擊退攻擊的神奇技術? 。或者 google:// XSS [...]
on 14 Oct 2008 at 10:08 am 28.M said …
或許他的意思是他們寫程式的技術與速度很強
十分鐘就把XSS的漏洞補完了,謂之十分鐘抵禦是也。