捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 1188 | 回覆: 0 | 跳轉到指定樓層
doudou10722
王子 | 2009-7-12 06:32:39

台灣卡巴斯基網站存在XSS (Cross-Site Scripting) 安全漏洞。跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。




7月8日收到「奕瑞資安快訊第五期」,如下圖所示:

我點擊熱門FAQ其中一則「關於卡巴斯基防毒軟體發生中斷,重新啟動時出現上一個應用程式啟動失敗訊息」,結果出現下圖畫面:

感覺上,網頁中應該存在某些問題,所以,就測試了一下,結果出現下圖畫面:

測試語法,如下所示:
http://web.kaspersky.com.tw/KL-Services/FAQ/Kav2009/kav2009_44.php?faq_name=%22%3E%3Ciframe%20src=http://www.google.com%3E%3C/iframe%3E&faq_no=317&faq_checksum=7115&faq_product=18&faq_id_no=5
其他問題,就靠他們自己找囉!

評分

已有 1 人評分名聲 收起 理由
y903052001 + 10

總評分: 名聲 + 10   查看全部評分

回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表