Web 2.0 Hacking
Web 2.0 興起,所衍生的入侵行為與惡意程式程式碼 惡意程式碼從病毒、蠕蟲、間諜程式至網頁掛馬,再加上架設偽冒網站企圖詐騙帳號、密碼與網路銀行資訊的網路釣魚,也許我們都以為,可以用既有的防毒、IPS、網頁過濾方式去控制。然而,Web 2.0融合Web Services、RIA、SOAP、JavaScript、XML等技術,強調高度互動與多人協同創作等概念,又大規模地帶動新的網頁形態產生。架構複雜,而且技術之間互相援引,關連性很強。
在當前的網頁環境中,威脅的面貌、破壞性與目的也不像過去硬走偏鋒,卻也越來越難以辨識,例如有些蠕蟲擅自更改使用者在網站的個人資料,目的只是為了在MySpace上面結交更多網友,而有的則設法潛入、複製到許多Yahoo使用者的網頁電子郵件通訊錄中。個人端在執行各網站上的JavaScript也變得很危險,例如在個人端電腦的瀏覽器偷偷執行惡意VBScript、JavaScript。
Cross-Site Scripting,XSS
跨站指令碼攻擊、跨網站腳本攻擊 是指Web應用程式沒有好好管制使用者,防止惡意程式碼「注入」網頁。例如未妥善過濾特殊字元,或未適當轉換瀏覽者輸入的字元,加上由瀏覽器本身所致。
Malicious File Execution
惡意檔案執行 Web應用程式將外部的惡意檔案引入,同時趁機執行檔案的內容。簡單地說,有人先將惡意程式碼或惡意網頁的連結植入網頁,讓瀏覽該頁面的使用者遭受攻擊,這臺電腦可能因此成為傀儡,幫入侵者收集帳號、密碼。
全文>>