在噗浪上看到有人抓到了總統府網站的XSS漏洞,在新聞稿網頁嵌入了惡搞的奇笨呆兒脫衣舞男影片。

無意發現,這個攻擊手法在IE8上會被擋下來! 之前微軟一再吹噓強調IE8相較於其他瀏覽器來得安全,索性就用這個案例讓五大瀏覽器比劃一下,看看IE8, Firefox, Chrome, Safari, Opera的XSS防身術功力高低:

Chrome腹部挨了一拳!

Firefox頭上被敲了一記悶棍!

Safari背上中了一掌!

Opera一個箭步,巧妙閃過!

 

IE8秀了一記後空翻,躲開後還三聲狂笑: "哈哈哈,打不到! 打不到!" (Internet Explorer has modified this page to help prevent cross-site scripting…)

實驗證明,Opera與IE8都在此案例中,均具有XSS防護效果,但不同的是Opera攔截後悶不吭聲,而IE8還多了一道資安警示。(我個人欣賞後者,但一般使用者未必領情)

在此宣佈,本次比武,IE8與Opera獲勝!

【題外碎碎唸】
總統府的網站用的是Linux+Apache+PHP平台,繼上回出現治國週記檔名被猜到而讓預錄檔案曝光後,這次的XSS漏洞算是第二記了! 常聽到有人說Windows平台比較容易被攻擊的論調,但我個人以為,看似相同的網站,開發者的經驗與素質左右了網站的安全防護強度,與用什麼平台、語言關係並不大。然而,網站防護力高低並不容易被明確衡量,往往只有因網站樹大招風被駭客高人盯上,一輪猛攻下問題才會爆發。

同一個網站專案,你不難找到號稱五萬包生子的兼職學生、也會有開口要價100萬的SI廠商,但客戶多半只願意花錢在看得到的地方,無法理解兩種網頁都是能選能點能翻頁,為什麼要為了"穩定性、系統效能、可維護性、安全性"多付數倍的錢? 系統品質與價值難以量化,導致專案市場價格混亂,最後苦了資深開發人員,說破了嘴也很難突顯自己的額外價值(說白一點,就是程式寫到老,想仗著經驗足牌子老多掙著錢都很難)。

程式老鳥們,大家自求多福吧!

【延伸閱讀】ASP.NET防駭指南你的網站在裸奔嗎?游擊式的SQL Injection攻擊


Comments

# by 小賤健

我的 FF 有裝 NoScript,剛剛試好久都看不到。後來開 Chorm 才知道事有蹊蹺XD

# by 大估

我剛才看到:五萬包子... 想說最近有這個梗嗎? XD

# by 咪兔

maxthon也看不到

# by 哇沙米

這篇好笑有梗!

# by benlee

我昨晚用opera開了新版的,也是中招。

# by 不客觀

網址列輸入的網址不一 客觀性值得質疑

# by 路過

可惜IE8又肥又慢, 而且跟據過去的經驗, 躲得過這個也閃不過另一個...結論 = 繼續用FF

# by benlee

回樓上不客觀,我用同一個網址http://0rz.tw/mjaVq試了IE678、firefox3.5、google chrome 2.0、opera9.64,只差safari我沒有。結果僅IE8不受影響,提供你參考看看。

# by nowhereman

是不是已經修好了? 用Fx看不到被惡搞.

# by Jeffrey

to nowhereman, 負責維護總統府網站的中研院在凌晨兩點就修掉這個洞了(http://news4.pchome.com.tw/politics/cnyes/20090828/index-12514497374843109001.html),動作還蠻快的(跟DELL相比)

# by maxi

黑兄可否講解cross-site script攻擊和XSS怎樣防護中間的原理嗎?

# by Just-Ha

文章中有錯誤之處: 一, 治國週記檔名被猜到而讓預錄檔案曝光後 治國週記是 資策會做的,並不是與總統府網站相同的娼商製作。所以不是挨了兩棍,要分開計算。 二,總統府網站程式已經用了近十年,且年底要換所謂的民間廠商來做,在這個尷尬的階段出現這個錯誤 也滿頭大的。 三,改版總統府網站要一千萬或七百萬這件事,是明年才要做,並不是現在廠商收的(目前只有收維護合約費)順便藉你這個澄清一下。 四,原本費用流向是:總統府-->xx單位--->繳回國庫 明年之後變成 總統府-->與xx人有關的xx民營企業-->私人口袋,兩者現金流向不同。 以上....

# by Jeffrey

to maxi, 關於XSS,在文末延伸閱讀: ASP.NET防駭指南有淺略介紹,不嫌棄的話可以當作入門。我也很好奇IE8對XSS的防護原理,還沒時間研究,等有心得時再來發表。 to Just-Ha, "謝謝指教",哈! 閣下對總統府網站背後祕辛暸若指掌,令人佩服不已,可以尊稱您為"深喉嚨"嗎? XD

# by lkk

cross-site script,應該要由server端防護,以避免網站被插入惡意程式或不雅內容壞了公司商譽,至於能不能顯示跨網站的內容對瀏覽器的電腦的安全性影響我覺得差別不大,如果系統有漏洞就算關掉了跨網站的內容,還是會因為點選了某個惡意連結而中招。

# by lovetaiwan

我有在藍色小舖提問是關於 Google Chrome 在自動排程起不來的問題, 因為參數中的 " 雙引號被取消了, 看你對Brower 很了解, 可否代解惑一下, 另外用 dos command 在xp 下要如何啟動 Google Chrome 帶入參數, 因為參數值區隔中有< 符號, Dos 看不懂; 另外 告訴大家供參考; 在自動化執行中, 用 IE 當然如上有些好處但是避不掉互動性, 但是 Google Chrome 可以自動做完不需manual interrupe, 所以在某些方面有他的好處, 供參考 如果不介意請回告email 以利聯絡, 我的是 lovetaiwanhopesite@gmail.com

# by Jeffrey

to lovetaiwan, 你的問題比較像如何組出想要且DOS認得的指令,倒與是不是瀏覽器無關。不過,由你的描述我不太確定你遇到的困難是什麼,要不要提供進一步想下的完整參數內容,讓大家幫你動動腦?

Post a comment