Web2.0網站漏洞安危多 網路惡意活動更創新高http://tw.rd.yahoo.com/referurl/news/l...G=10ltkt9dn/*[url
更新日期:2009/04/20 19:47
Yahoo!奇摩特約記者薛怡青台北報導
http://tw.news.yahoo.com/article/.../35/1i5t4.html
<<網路資安>>專題1
資安廠商賽門鐵克發表第14期全球網際網路資訊安全威脅研究報告發現,「跨網站腳本攻擊」(cross-site scripting)在2008年裡比2007年更為升高,其中有63%影響了網路應用程式。報告更指出,2008年有一萬二千八百多個被提報弱點攻擊是針對特定網站的「跨網站腳本攻擊」,但其中卻只有3%獲得修正。
何謂「跨網站腳本攻擊」?簡言之就是
駭客利用Web網頁裡搭配JavaScript程式插入惡意的html代碼,當使用者在瀏覽網頁時,這個惡意的代碼就會被執行並隨著回應訊息時,感染給使用者。例如,當使用者在
部落格裡修改個人資料時,假使該部落格已有XSS漏洞,並被駭客植入惡意的程式碼,當使用者登入時,伺服器會根據相關的資料回應訊息給使用者,而此刻使用者的個人資料也會同時傳送到駭客手中,駭客可以再利用使用者的登入資訊登入,並利用使用者的名義發送相關的訊息給其他使用者,當其他使用者也進入該網頁瀏覽時,就會被感染,並依此繼續再將蠕蟲擴散出去。
例如,上星期才爆發針對Twitter的跨網站腳本攻擊事件,以及Myspace網站也發生過類似的跨網站腳本攻擊事件,甚至台灣的
無名小站被發現有XSS漏洞而造成個資被駭,這些都是被「跨網站腳本攻擊」的狀況。
尤其在Web2.0網站當道之際,越來越多網站強調與使用者的互動性,也越來越多網站使用Javascript來開發,加上現在許多網站都有留言板、討論區等功能,允許使用者可以輸入文字互動,如果網頁程式開發者在缺乏相關的資訊安全概念之下,在使用者可以輸入的內容上未做有效可靠的驗證,就可能讓XSS漏洞攻擊事件不斷發生。
Web2.0時代讓網路發展更為人性化、擁有更高的互動性,但也常常因設計者在未考慮到周全的安全性的情況下,造成更多漏洞。而「跨網站腳本攻擊」更是被列為近年來十大網路資安攻擊之首。
此外,賽門鐵克也在這次的報告中指出,透過網頁瀏覽(web surfing)已是目前最主要新病毒感染的主要來源途徑,其中有高達九成以上都是要偷取個人資料,並且多以鍵盤側錄來竊取個人的銀行帳等資料最多。
賽門鐵克更表示,單單去年每月就在全球平均阻擋了二億四千五百萬個惡意程式碼攻擊。而且惡意程式碼的總數不斷升高,根據賽門鐵克的資料顯示,去年就建立了超過一百六十萬個新的惡意程式碼特徵,因此賽門鐵克提醒使用者,無論是瀏覽網頁,或收發電子郵件,以及進行任何電子商務活動時,一定要小心謹慎,以確保自身安全,否則線上的安危可能就會演變成現實生活的安危事件。