※ 引述《TonyQ (自立而后立人)》之铭言：
: http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463698/
: 4.备注:
: 有没有把网友公民提案内容的网页语法，讲成恶意攻击的八卦？
: 在网友提案里面放放柯文哲的政见跟照片就是恶意攻击，
: 那这提案平台不摆明作来挖洞给网友跳跟整柯吗？
: 再者，如果真的不欢迎让人使用网页语法，
: 也可以从系统面好好做好内容管理把语法滤掉(html escape)。
: 说真的我觉得连营工程师真的该多花点心思在网站上，
: 这种基础的资讯素养都没有，还要搞到最后用新闻稿的方式来澄清，
: 作为网络领域的从业工程师，实在是觉得看得很难过啊。
: 如果有同行，也欢迎来我们网页开发工程师社团，
: 继续讨论更多“基础到不行的网站开发常识”。
: http://goo.gl/9qr7pG
真的看不下去连胜文的资讯团队
身为开发者，死为开发魂
只好跳出来讲讲真话......
这个事件讲简单点，
就是有人把“柯P滑出来对你说政见”留言进去造成的效果。
如果连胜文团队有基本的资讯安全
根本不可能发生此事
这种现象俗称“跨网站指令”，英文是 Cross-site Scripting，简称 XSS。
透过新闻了解这个人的想法仅是“进一步测试连胜文的气度底限，
才改放柯文哲的图像等资讯”且连胜文官方强调官网仍正常运作，
没有影响到任何人的资讯安全。可以说他非常的幸运...
但是连胜文官网的 XXS 漏洞，却非常的危险，风险小从替换联结、
置换页面内容等无伤大雅情况，大到诱导使用者刷卡、诱使使用者
重新输入密码以盗取帐号等等等都有可能。
今天遇到的意外只是测试，但试想，连胜文团队未来在市政、
健保、警消、电子付费等上会不会出此状况？实在令人担忧。
话说回来，XSS 怎么防御？
其实，只要网站开发者，将留言内的程式码做过滤，就能杜绝这种危险。
而这几乎是现在网站开发的基本常识、资讯安全的第一课。
正确使用科技工具，可以发挥正向强大的力量。
反之用在不对的地方，也会造成破坏。
举例来说，民众能够使用行车记录器保护自己的安全，
但政府绝不能用来监控人民的一举一动。
类似的例子还有之前远通 eTag 当机以为是骇客攻击，
经行政院相关单位调查后，
才发现是自己的 App 设计不良的结果......
透过这次的事件，身为资讯人员的尊严...
希望连胜文的团队能够尽快补足网站开发的基本知识、加强资安意识，
让选举回归正面价值对决
不要再迁拖什么理由了 这真的非常丢脸

我真心觉得连团队一点网络素养都没有

推 这真的是资讯相关科系学生都懂的常识...

一直觉得连营这么有钱为啥请的团队这么烂

连策略:出问题都推给柯P

优良传统 都是they的错

连胜文不要出来丢脸了 资安都弄不好 还想当市长喔

也是啦 家里遭小偷因为窗户没关 太丢脸 一样意思

丢脸死了 资讯科系都知道的东西 居然那个"团队"不懂

这是高招的选战策略这样才能说柯P都在搞小动作

这是请君入瓮

你不能要求神D的智商

个人认为这依然是神猪在自导自演而已

惯用手法 挖洞给柯P跳

连:被攻击拉 网军拉

也是啦 如果不提告就是自导自演的意思 提告就是小题大作的意思

不会设计也没关系UTM-WAF 买一买..XDDD

说不定这东西就是连自己弄得 然后赖给柯

push

去找个网站资安扫描的 付个几万 这种漏洞通通列给你改

演戏囉 不演戏怎么博取同情

推

要不就是连团队都脑残，要不就是故意挖洞给对方跳

不骇自己的网站 怎么诬陷柯P有网军呢?

专业推

因为要加入连银河舰队不是看能力是看家世背景,权贵团队!

神D:电脑蓝底白字 一定柯P搞鬼

或许这只是人家故意留的漏洞，这才有机会攻击抹黑对方！！

xss喔 等等去看看

他是故意不把资安当一回事 好有个说柄骂人

@VVizZ 是自己门没关好，结果有人路过就怀疑人偷东西的概念

KMT 一向是只想搞钱的共犯结构啊，有哪几个是真材实料的?

这样还信他会有多大方 zzz

那么笨连这个都不知道

自己团队把官网搞成那样真的...."到底会不会用人"?

故意的

说ptt都是柯P的网军 结果站长还是连阵营的

这么有钱怎么找来做网站的好像刚出茅芦大学生的专题

帅

html语法没滤掉 这资安根本没做嘛

都是they的臭!! 学了个十成十阿 永远只会怪环境

几次了，网页做好一点很难吗

说你是网军 你就是网军 不得有异议

推推

不就自己网站没作好 还怪网友是骇客....ˋ

可见神猪真当选 以后市政出包一样推给柯P

这种网站不是找公司外包的吗？连D怎么搞得很困难的样子

神猪阵营还有没有其他招啊 很腻耶

不是说身边一堆人才 真的笑死我 柯p的土炮军团随便都屌打

689:吼 抓到了 网络是绿的

不是天才就是白痴

这真的是基本中的基本，这网站怎么架的啊

推

神猪团队本来就蠢 蠢到跟神猪一样 689还是爱

故意挖洞给大家跳再装弱势（ㄓ\）

把资安看得太简单就是这群人无可救药的病因

不过这个植入script的行为其实也不算是XSS啦

智障689哪管这些 只会全部卸责给别人

等著别人入侵然后指责对手阵营及其支持者，高啊

他们就这么蠢呀，只会喊什么什么要连结悠游卡就好

这团队是整个都跟主子同等级的吗? 弱成这样还想入主市政?

根本是故意设计很烂，然后出包某黑对手，高招

如果思维跟马英九一样不用比主子聪明的 那应该整团都是猪

是说只有蠢蛋才会想跟连胜文？

跟啥连胜文，人家也是拿钱办事，只是这家公司没实力还想拿钱

Kmt垃圾步又出现啦！

大连舰队:你看 做那么烂我们还是会付钱 想发财就投我们

啊就..什么人请什么样的团队啊 连又没料

记者快来钞阿

连团队好鸟 瞎爆了

当然是故意留漏洞再装受害者，你当蔡是吃素的喔

连是来当巿长的 小细节 叫爸爸花钱

总之都是they的错

你在资安上相当专业 但你不懂他们的操作目的...

你想太多 自导自演来甩泥巴的

我查得很清楚网站上一大串的香蕉

689:开放html 不代表可以乱搞 就跟我窗户没关你也不能偷窥我换衣服一样道理

xd

其实真的是这样，房没所不代表可以随意进房乱动摆设

呵

一生满是挫折 无知不是病 为何偶总是...爸爸

都是They的错

人家连就在栽赃你有网军 操作你有网军 柯p会真的那么笨

我不觉得连营的工程师不懂这些(要是真不懂就太烂了)

就真的成立网军 然后去骇连的网站 让连打吗?

扯到爆

KMT选战团队核心处理的事 从来都不是网页资安 而是买○

用脚踝想也知道 根本不可能 不过以天龙人的智商 应该会有人信......

我也很担心你可以把这个扩张到市政的脑袋要不要修

推

XDDD

另外你提到的XSS防御只是一小部分 更多的是挡不住的

@NTUlioner 那就说些真的挡不住的例子吧。

XD 这样才有话题抹黑柯文哲 啊

连胜文现在就是打哀兵战阿~~他只要出糗就说不是他讲的

XDDDDDDDDDDDDDDDDDDDD

赖给下属(拔除职位)、团队出包就赖对方阵营攻击

看到几只垃圾蛆因为原PO太专业，不敢嘘，只敢躲推文

这些事最好跟柯p的阵营说，让他们防止对方的抹黑

他打选战都是这副德性 真的把市政交给他还得了~~~~

哎哟～人家连公子回家靠北一下 问题就解决啦

真难想像市府人员以后会怎么被糟蹋

所以主管市政就是要当全世界都吃素的? 保护不了自己怪别人对他坏坏? 回去读幼稚园吧

今天猪说柯欺负她,明天猪说人民不要不知福!

http://j.mp/twdrp 北市长加油!

推这篇

问题是，这些真相上不了新闻就根本无用 大家推爆他~~~

推

不懂给推 不过他这样是谁都能骇八干科p雕事啊？

推专业

这种牵拖个性 真上了就毁了

xss和sql-injection等 一直是我教育手下的第一课啊…

只有我觉得是自己骇自己 然后打柯P吗?

689继续视而不见 泪投神猪

连如果选上，凭这种猪团队...北市资料会被骇光吧

" target="_blank" rel="nofollow">
不是钱很多 又舍不得花钱搞资安" target="_blank" rel="nofollow">

连根本呵呵, 只会找媒体哭哭。

...

搞不好是故意让网站漏洞百出der~

推

分析那么多没用 其实是自导自演推给柯营

千错万错都是别人的错XD