[資安小常識] IE9 可成功阻擋 99% 來自社交網站惡意軟體的攻擊

作者:資安顧問 Taien 跨網站指令碼 (Cross-Site Script, XSS) 在之前[資安小常識]什麼是跨網站指令碼 XSS 攻擊?介紹過,Cross-Site Script 按造縮寫我們知道是 CSS,為什麼不叫 CSS 呢?第一個原因當然是因為它跟網頁設計常用的串接樣式表 (Cascading Style Sheets, CSS) 同名,那為什麼要改 XSS 呢?主要原因就是邪惡的東西通常用 X 來表示,所以造成了 XSS 這個大家熟悉的名稱。 為什麼又要老生常談這個攻擊呢?因為今年開始各手機廠商已經進入戰國時代,手機商為了要與眾不同可以看到現在紛紛推出了社群網站專用機,而社群網站與 Web2.0 平台就是最容易遇到所謂的 XSS 攻擊,可以遇見的是在手持裝置支援越來越多,XSS 也將更無遠弗屆,你也許覺得這個東西離你很遠,那就讓我們來回顧一些相關的新聞: 2006/11/21 無名小站遇「駭」 個資流入中國 2007/07/03 Yahoo! 郵件 (XSS 攻擊) – 影片 2009/04/11 17 歲少年:Twitter 的 XSS 蠕蟲是我做的 2009/06/22 FB HIveg 聲稱破解 Facebook 可以讀取設定不共享資料用戶的資料 2009/06/27 誰在看我的噗?第一回:DOM…


[資安小常識] 什麼是跨網站指令碼XSS攻擊?

  跨網站指令碼XSS (Cross-site scripting)攻擊,是一種針對網站應用程式設計不夠嚴謹所導致的安全弱點攻擊行為;最原始的弱點是允許攻擊者將惡意程序植入網頁中,導致使用者瀏覽網頁時,受到不同程度的影響,如在背景中下載惡意程序,後門開啟或是密碼與個人資料之竊取。   近期新聞事件中常見之XSS攻擊,雖然是針對同樣的弱點進行攻擊,但採用了不同的運作方式;其原理是讓使用者存取經過特殊設計的網址(該網站本身具有XSS弱點);使用者存取時瀏覽器中除了原先正常網站的頁面會出現之外,也會出現設計惡意網址的作者預計呈現的物件(如影片,圖片,文字)或是希望達成的目標;這樣的運作模式對網站本身並不會造成影響,但是卻同樣可以利用使用者對某些知名網站的信任,而導致遭受感染,攻擊等相關事件。由於設計該類惡意位址之門檻不高,製作時間降低但效果卻更為顯著,因此已經逐漸成為惡意攻擊者的新寵。         目前使用者針對跨網站指令碼XSS (Cross-site scripting)攻擊最有效的自我保護之道,就是謹慎選擇使用瀏覽器進行網路存取;微軟的IE8是目前少數針對該類型攻擊,能夠主動提供相當程度保護並警告使用者所遇到風險的瀏覽器。     想獲得更多資訊?參考更多資安小常識   讓我們瞭解一下資安小常識對您的幫助,請按下面的星星評分。