廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1733 個閱讀者
04:00 ~ 4:30 資料庫備份中,需等較久的時間,請耐心等候
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
Web2.0網站漏洞安危多 網路惡意活動更創新高
Web2.0網站漏洞安危多 網路惡意活動更創新高
http://tw.rd.yahoo.com/referurl/news/l...G=10ltkt9dn/*[url

更新日期:2009/04/20 19:47 Yahoo!奇摩特約記者薛怡青台北報導
http://tw.news.yahoo.com/article/.../35/1i5t4.html

<<網路資安>>專題1
資安廠商賽門鐵克發表第14期全球網際網路資訊安全威脅研究報告發現,「跨網站腳本攻擊」(cross-site scripting)在2008年裡比2007年更為升高,其中有63%影響了網路應用程式。報告更指出,2008年有一萬二千八百多個被提報弱點攻擊是針對特定網站的「跨網站腳本攻擊」,但其中卻只有3%獲得修正。

何謂「跨網站腳本攻擊」?簡言之就是駭客利用Web網頁裡搭配JavaScript程式插入惡意的html代碼,當使用者在瀏覽網頁時,這個惡意的代碼就會被執行並隨著回應訊息時,感染給使用者。例如,當使用者在部落格裡修改個人資料時,假使該部落格已有XSS漏洞,並被駭客植入惡意的程式碼,當使用者登入時,伺服器會根據相關的資料回應訊息給使用者,而此刻使用者的個人資料也會同時傳送到駭客手中,駭客可以再利用使用者的登入資訊登入,並利用使用者的名義發送相關的訊息給其他使用者,當其他使用者也進入該網頁瀏覽時,就會被感染,並依此繼續再將蠕蟲擴散出去。

例如,上星期才爆發針對Twitter的跨網站腳本攻擊事件,以及Myspace網站也發生過類似的跨網站腳本攻擊事件,甚至台灣的無名小站被發現有XSS漏洞而造成個資被駭,這些都是被「跨網站腳本攻擊」的狀況。

尤其在Web2.0網站當道之際,越來越多網站強調與使用者的互動性,也越來越多網站使用Javascript來開發,加上現在許多網站都有留言板、討論區等功能,允許使用者可以輸入文字互動,如果網頁程式開發者在缺乏相關的資訊安全概念之下,在使用者可以輸入的內容上未做有效可靠的驗證,就可能讓XSS漏洞攻擊事件不斷發生。

Web2.0時代讓網路發展更為人性化、擁有更高的互動性,但也常常因設計者在未考慮到周全的安全性的情況下,造成更多漏洞。而「跨網站腳本攻擊」更是被列為近年來十大網路資安攻擊之首。

此外,賽門鐵克也在這次的報告中指出,透過網頁瀏覽(web surfing)已是目前最主要新病毒感染的主要來源途徑,其中有高達九成以上都是要偷取個人資料,並且多以鍵盤側錄來竊取個人的銀行帳等資料最多。

賽門鐵克更表示,單單去年每月就在全球平均阻擋了二億四千五百萬個惡意程式碼攻擊。而且惡意程式碼的總數不斷升高,根據賽門鐵克的資料顯示,去年就建立了超過一百六十萬個新的惡意程式碼特徵,因此賽門鐵克提醒使用者,無論是瀏覽網頁,或收發電子郵件,以及進行任何電子商務活動時,一定要小心謹慎,以確保自身安全,否則線上的安危可能就會演變成現實生活的安危事件。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2009-04-21 00:40 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.080387 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言