Web2.0网站漏洞安危多 网路恶意活动更创新高http://tw.rd.yahoo.com/referurl/news/l...G=10ltkt9dn/*[url
更新日期:2009/04/20 19:47
Yahoo!奇摩特约记者薛怡青台北报导
http://tw.news.yahoo.com/article/.../35/1i5t4.html
<<网路资安>>专题1
资安厂商赛门铁克发表第14期全球网际网路资讯安全威胁研究报告发现,「跨网站脚本攻击」(cross-site scripting)在2008年里比2007年更为升高,其中有63%影响了网路应用程式。报告更指出,2008年有一万二千八百多个被提报弱点攻击是针对特定网站的「跨网站脚本攻击」,但其中却只有3%获得修正。
何谓「跨网站脚本攻击」?简言之就是
骇客利用Web网页里搭配JavaScript程式插入恶意的html代码,当使用者在浏览网页时,这个恶意的代码就会被执行并随着回应讯息时,感染给使用者。例如,当使用者在
部落格里修改个人资料时,假使该部落格已有XSS漏洞,并被骇客植入恶意的程式码,当使用者登入时,伺服器会根据相关的资料回应讯息给使用者,而此刻使用者的个人资料也会同时传送到骇客手中,骇客可以再利用使用者的登入资讯登入,并利用使用者的名义发送相关的讯息给其他使用者,当其他使用者也进入该网页浏览时,就会被感染,并依此继续再将蠕虫扩散出去。
例如,上星期才爆发针对Twitter的跨网站脚本攻击事件,以及Myspace网站也发生过类似的跨网站脚本攻击事件,甚至台湾的
无名小站被发现有XSS漏洞而造成个资被骇,这些都是被「跨网站脚本攻击」的状况。
尤其在Web2.0网站当道之际,越来越多网站强调与使用者的互动性,也越来越多网站使用Javascript来开发,加上现在许多网站都有留言板、讨论区等功能,允许使用者可以输入文字互动,如果网页程式开发者在缺乏相关的资讯安全概念之下,在使用者可以输入的内容上未做有效可靠的验证,就可能让XSS漏洞攻击事件不断发生。
Web2.0时代让网路发展更为人性化、拥有更高的互动性,但也常常因设计者在未考虑到周全的安全性的情况下,造成更多漏洞。而「跨网站脚本攻击」更是被列为近年来十大网路资安攻击之首。
此外,赛门铁克也在这次的报告中指出,透过网页浏览(web surfing)已是目前最主要新病毒感染的主要来源途径,其中有高达九成以上都是要偷取个人资料,并且多以键盘侧录来窃取个人的银行帐等资料最多。
赛门铁克更表示,单单去年每月就在全球平均阻挡了二亿四千五百万个恶意程式码攻击。而且恶意程式码的总数不断升高,根据赛门铁克的资料显示,去年就建立了超过一百六十万个新的恶意程式码特征,因此赛门铁克提醒使用者,无论是浏览网页,或收发电子邮件,以及进行任何电子商务活动时,一定要小心谨慎,以确保自身安全,否则线上的安危可能就会演变成现实生活的安危事件。
