這兩天很流行玩這個:
http://www.icbc.com.cn/news/hotspot.jsp?column=%3Cfont%20size=10%3E%BD%F7%B4%CB%D4%AA%B5%A9%BC%D1%BD%DA%D6%AE%BC%CA%A3%AC%B9%A4%C9%CC%D2%F8%D0%D0%B8%F8%C3%BF%B8%F6%B4%A2%BB%A7%C3%E2%B7%D1%B7%A2%B7%C51000%CD%F2%C3%C0%BD%F0%3C/font%3E
會出來:
還有更好玩的:
http://www.icbc.com.cn/news/hotspot.jsp?column=%3Cscript%3ER%3D0%3B%20x1%3D.1%3B%20y1%3D.05%3B%20x2%3D.25%3B%20y2%3D.24%3B%20x3%3D1.6%3B%20y3%3D.24%3B%20x4%3D300%3B%20y4%3D200%3B%20x5%3D300%3B%20y5%3D200%3B%20DI%3Ddocument.body.getElementsByTagName%28%27table%27%29%3B%20DIL%3DDI.length%3B%20function%20A%28%29%7Bfor%28i%3DDIL-1%3Bi%3E-1%3Bi--%29%7BDIS%3DDI%5B%20i%20%5D.style%3B%20DIS.position%3D%27absolute%27%3B%20DIS.left%3DMath.sin%28R*x1-%28-%28i*x2-%28-%28x3%29%29%29%29%29*x4-%28-%28x5%29%29%3B%20DIS.top%3DMath.cos%28R*y1-i*y2-y3%29*y4-%28-%28y5%29%29%7DR--%7Dwindow.onload%20%3D%20function%20%28%29%20%7BsetInterval%28%27A%28%29%27%2C5%29%3Bdocument.title%3D%27FBI%27%7D%3C/script%3E
整個頁面都可以出來動畫效果
這還不夠好玩?還有更更好玩的:
http://www.donews.com/Content/200612/92ac3138ade9406c81d72a057a995f5e.shtm
DoNews(北京)12月31日消息(記者 徐新事)近日網上盛傳中國工商銀行網站被黑客攻擊,網友在IM和論壇里傳播“
中國工商銀行宣布破產
”、“
中國工商銀行轉讓80%給**網站
”等偽造的信息。此類惡搞信息造成網友認知混亂,認為中國工商銀行網上銀行不可靠,發起對網絡銀行安全性質疑。記者就此事采訪資深網絡專家
龍如俊
先生。龍如俊認為這只是常見的跨站式Xss處理不當造成,談不上攻擊,對工行網銀安全不存在威脅。
龍如俊介紹到,幾種常見Web站點不安全的編程漏洞包括密碼漏洞、跨站腳本漏洞、不安全的存儲漏洞和拒絕服務漏洞。此次中國工商銀行網站的漏洞就是跨站腳本漏洞,實際上就是腳本人員對跨站式Xss處理不當。網友利用該漏洞,編輯特殊代碼后得到網上傳播的鏈接,但是對正常的網銀交易不會產生任何影響。
龍如俊稱跨站式Xss處理不當是常見的Bug,就是微軟、雅虎、亞馬遜等公司都出現過此類問題,也都難以避免這種現象。如Yahoo! Mail中采取了積極的防預措施來預防XSS。特別是其郵件站點在適當的上下文中將"javascript”轉換成了"_javascript”,以阻止代碼的執行。他說:“這并非重大故障,更談不上是攻擊,對工行網銀安全不會存在任何威脅。”
至于為何出現該跨站式Xss漏洞,龍如俊稱主要有兩個原因。首先,HTML沒有明確區分代碼和數據;其次,程序在將用戶數據發送回瀏覽器時沒有進行有效的轉義,這導致包含有引號的數據被放入頁面中。
“當前流行的Ajax技術對預防跨站式Xss漏洞方面有一定好處,”龍如俊說:“Ajax技術包含一個專用渠道XML鏈接,其中全是數據而沒有代碼。這樣,就有可能讓客戶端AJAX引擎負責對字符串進行轉義、檢測不正確的值。”
但龍如俊表示直到AJAX更為成熟或更為標準化,否則只會導致錯誤的編程和安全漏洞,畢竟Ajax技術只是web2.0中涌出新型技術還不夠成熟。(完)
XSS漏洞根本就不是“HTML沒有明確區分代碼和數據”帶來的問題,而是“程序員沒有明確區分代碼和數據”帶來的問題。各大網站不但都遇到過這樣的問題,很多網站也在這上面栽過大跟斗吃過大虧。網絡安全無小事,大家用龍如俊專家這樣的態度來處理問題,黑客們就有福了。
此外“跨站式Xss”本身也是個很外行的說法。XSS是Cross-Site-Script的縮寫(跨站腳本),第一個單詞Cross有“交叉”的意思,縮寫的時候就用一個大大的“叉”來縮寫。所以XSS就是跨站腳本,哪里還有什么“跨站式的跨站腳本”?
發出這篇文章之后,很驚訝的發現龍如俊的博客鏈接就在文章里面:
http://longrujun.name/default.html
從博客上看,龍如俊真稱得上是“往來無白丁”了。他的好友里面赫然有:劉韌、蔣濤、曾登高這樣一些如雷貫耳的名字,想必他本人也不是泛泛之輩。看看他對此事的原始評論把:
http://longrujun.name/blogs/longrujun/archive/2006/12/31/_E88DD97A1A812C6708FF_XSS_09FF0F6F1E6DEE959898F25DCF7E0D4E2F66EE959898_.aspx
從原文看來,龍大師比記者所轉述的還是要內行的多的:
典型攻擊:涉及XSS的典型攻擊通常都需要稱為“social engineering(社會工程)”的什么東西。意味著說服某人點擊您所創建的某一鏈接,該鏈接包含指向某一Web站點的提交功能,該站點具有XSS漏洞,該鏈接通過該漏洞提交JavaScript代碼。提交的JavaScript代碼通常會從用戶的瀏覽器竊取會話cookie,并將它們提交給攻擊者的某一Web站點。攻擊者然后可以使用這些會話來冒充受攻擊用戶,且無需密碼。盡管策動這種攻擊比較困難,但攻擊者卻可以很好地文檔
化和理解它,因此必須謹慎地加以避免。
這段話雖然有點含糊其辭(“social engineering(社會工程)”的什么東西是什么東西?),但是觀點基本是明確的(“盡管策動這種攻擊比較困難”這句又很讓人懷疑他的根本觀點是什么)。但是話從徐新事大記者嘴巴里面出來就變成了:
龍如俊認為這只是常見的跨站式Xss處理不當造成,談不上攻擊,對工行網銀安全不存在威脅。
一開始以為是徐大記者自作主張強奸了龍如俊的愿意,看了看龍如俊的其他文章,他本人曾經擔任過(或者仍然擔任著)DoNews技術顧問,而且他和徐記者也不是頭一回合作了,看來還很樂意被徐記者采訪(還是強奸?)并在自己的博客里面轉徐記者的新聞稿。而且龍的標題也是很容易引起誤會的:《跨站腳本(XSS)漏洞問題已經不是問題》,既可以理解為技術上規避此漏洞不難的意思,也可以理解為這個漏洞不會造成安全威脅的意思。這樣他們兩個誰在臭嘴巴就無從考證了。
XSS漏洞其實是十分危險,很成問題,很容易被惡意利用的。如果沒有驗證碼或者重新輸入密碼驗證的限制,一個在線郵箱系統的一出現XSS漏洞可以很容易利用來盜取用戶個人資料、修改密碼;如果沒有IP限制,就可以被利用來竊取session,偽造登錄狀態。輕則破壞用戶數據,重則盜取郵件中的商業、隱私、財務資料,后果不堪設想。在論壇、博客等系統中一樣的可以用來進行身份冒充、惡意消費和數據破壞。現在這樣一個漏洞出現在一個銀行的官方網站上,而且數天時間沒有得到積極響應(咨詢了工行的朋友,得到的惟一答復就是龍如俊的文章)和處理,讓人怎么不懷疑這個銀行的開發人員的水平和責任心?這樣的人有能力保護好自己客戶的資料和錢嗎?