※ 引述《dreamdbee (~小凌~)》之銘言:
: 1.媒體來源:
: 蘋果日報
: http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463896
: 2.完整新聞標題/內文:
: http://ppt.cc/jE5w
: 連勝文網站今天被駭客攻擊,顯示出柯文哲圖像與政見連結。網友risky5566提供
: https://www.youtube.com/watch?v=Mt9JcfBHOt4
: 對手柯文哲圖像「亂入」,台北市長參選人連勝文官網又遭駭!
: 連營痛批有心人士「惡意攻擊」,已在第一時間處理。
: 但吳姓網站開發工程師表示,若連營官網夠嚴謹,理應不會出現此情形,
: 而且過濾網站留言區輸入程式語法,其實是基本功,像這樣子的「惡意攻擊」,
: 嚴格來說,不能稱之為「被駭」,因為「只要稍微懂一點(語法)的人就可以做」。
: 據了解,有些網站留言區塊,可以輸入HTML、JAVA或SCRIPP等語法,
: 以供更改文字大小、顏色等外觀,或者執行程式,但通常網站會對其進行過濾,
: 以防遭有心人士惡意竄改網站。
: 吳姓網站開發工程師表示,連營所謂的「惡意攻擊」,其實是XSS(跨網站指令),
: 只要將柯文哲的API(應用程式介面),寫進連營官網留言區,
: 「就可以從連勝文網站去執行對手(柯文哲)的程式」,吳姓工程師說,
: 其實只要略懂程式語法的人,就能這麼做。
: 吳姓網站開發工程師說,一般而言,網站通常會針對語法進行過濾,
: 但網友寫在連官網的語法既能執行,那看起來連官網是沒有過濾。
: 吳姓工程師更表示,若網站未進行防護措施,直接開放語法嵌入,
: 「(駭客)要嵌入什麼就不一定,任何影片、照片等等,什麼東西都可以加到他網站上」。
: 其實相同案例2009年就曾出現,當時總統府網站被網友以相同方式,
: 用跨網站指令植入總統馬英九與副總統蕭萬長等內閣閣員,大跳韓國流行歌曲
: 「SORRY SORRY」的KUSO影片,當時還曾引起一陣喧嘩。
: 連營官網遭「惡意攻擊」引發鄉民熱議,更有自稱網站開發師的網友紛紛發文打臉,
: 指防禦「XSS」是網站開發基本常識、資訊安全的第一課,該團隊的工程師,
: 「連基礎資訊素養都沒有。」不少鄉民更駁斥,這根本不能稱為「駭客攻擊」,
: 「根本騙無知的大眾罷了」。
: http://ppt.cc/vJqV
: (顏凡裴/台北報導)
: 3.新聞連結:
: http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463896
: 4.備註:
: 覺得是故意自導自演的有多少人?
有些人不懂什麼是XSS,我用簡單的比喻來說明好了
所謂的XSS,就是原本是留言的文字,結果被當成程式碼來執行了
例如:
網站上有人留言一段文字 "format c:\"
原本這段內容應該是要在留言板當成留言顯示出來
|=============================================|
|5F (神豬咬橘子): |
| format c:\ |
|=============================================|
結果因為程式語法的問題,變成他會把這段文字當作程式碼執行
造成去瀏覽這個網頁的人,電腦卻把這個留言當作指令,執行了format c:\這個指令
以上只是舉例,不是真的可以執行的程式碼,有興趣的人可以google xss,有很多範例
用更簡單的比喻,就是你留言:把硬碟格式化
結果其他看到這段留言的人,電腦真的把硬碟格式化了..........