※ 引述《dreamdbee (~小凌~)》之铭言:
: 1.媒体来源:
: 苹果日报
: http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463896
: 2.完整新闻标题/内文:
: http://ppt.cc/jE5w
: 连胜文网站今天被骇客攻击,显示出柯文哲图像与政见连结。网友risky5566提供
: https://www.youtube.com/watch?v=Mt9JcfBHOt4
: 对手柯文哲图像“乱入”,台北市长参选人连胜文官网又遭骇!
: 连营痛批有心人士“恶意攻击”,已在第一时间处理。
: 但吴姓网站开发工程师表示,若连营官网够严谨,理应不会出现此情形,
: 而且过滤网站留言区输入程式语法,其实是基本功,像这样子的“恶意攻击”,
: 严格来说,不能称之为“被骇”,因为“只要稍微懂一点(语法)的人就可以做”。
: 据了解,有些网站留言区块,可以输入HTML、JAVA或SCRIPP等语法,
: 以供更改文字大小、颜色等外观,或者执行程式,但通常网站会对其进行过滤,
: 以防遭有心人士恶意窜改网站。
: 吴姓网站开发工程师表示,连营所谓的“恶意攻击”,其实是XSS(跨网站指令),
: 只要将柯文哲的API(应用程式接口),写进连营官网留言区,
: “就可以从连胜文网站去执行对手(柯文哲)的程式”,吴姓工程师说,
: 其实只要略懂程式语法的人,就能这么做。
: 吴姓网站开发工程师说,一般而言,网站通常会针对语法进行过滤,
: 但网友写在连官网的语法既能执行,那看起来连官网是没有过滤。
: 吴姓工程师更表示,若网站未进行防护措施,直接开放语法嵌入,
: “(骇客)要嵌入什么就不一定,任何影片、照片等等,什么东西都可以加到他网站上”。
: 其实相同案例2009年就曾出现,当时总统府网站被网友以相同方式,
: 用跨网站指令植入总统马英九与副总统萧万长等内阁阁员,大跳韩国流行歌曲
: “SORRY SORRY”的KUSO影片,当时还曾引起一阵喧哗。
: 连营官网遭“恶意攻击”引发乡民热议,更有自称网站开发师的网友纷纷发文打脸,
: 指防御“XSS”是网站开发基本常识、资讯安全的第一课,该团队的工程师,
: “连基础资讯素养都没有。”不少乡民更驳斥,这根本不能称为“骇客攻击”,
: “根本骗无知的大众罢了”。
: http://ppt.cc/vJqV
: (颜凡裴/台北报导)
: 3.新闻连结:
: http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463896
: 4.备注:
: 觉得是故意自导自演的有多少人?
有些人不懂什么是XSS,我用简单的比喻来说明好了
所谓的XSS,就是原本是留言的文字,结果被当成程式码来执行了
例如:
网站上有人留言一段文字 "format c:\"
原本这段内容应该是要在留言板当成留言显示出来
|=============================================|
|5F (神猪咬橘子): |
| format c:\ |
|=============================================|
结果因为程式语法的问题,变成他会把这段文字当作程式码执行
造成去浏览这个网页的人,电脑却把这个留言当作指令,执行了format c:\这个指令
以上只是举例,不是真的可以执行的程式码,有兴趣的人可以google xss,有很多范例
用更简单的比喻,就是你留言:把硬盘格式化
结果其他看到这段留言的人,电脑真的把硬盘格式化了..........