tag:blogger.com,1999:blog-1441759431140700676.post1495540537790295076..comments2023-06-30T15:40:42.068+08:00Comments on 阿碼外傳-阿碼科技非官方中文 Blog: 為何XSS(跨網站腳本)漏洞難改?以twitter Mikeyy六代蠕蟲說明Unknownnoreply@blogger.comBlogger12125tag:blogger.com,1999:blog-1441759431140700676.post-77206697443108743522009-12-16T16:42:50.636+08:002009-12-16T16:42:50.636+08:00encode every nonstandard characters...it's the...encode every nonstandard characters...it's the way to mitigate XSS. Since twitter encoded the user input based on a blacklist, it's the why they were failure. <br /><br />blacklist is a worse solution for security.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-65225327810415668372009-04-22T23:29:00.000+08:002009-04-22T23:29:00.000+08:00Hi Hikaru, 在撰寫安全程式的過程一定會學到各種"好用"的過濾函式, 越熟悉每個函式的功用與...Hi Hikaru, 在撰寫安全程式的過程一定會學到各種"好用"的過濾函式, 越熟悉每個函式的功用與限制, 就越能在不同情境下選擇最適當的修補方式. 以此 PHP 的 htmlentities 過濾函式為例, 在實務上常有兩個參數被忽略, 一為指定引號類別, 一為指定編碼語系. 我們看到 twitter 在手冊中強調 API 支援 UTF-8 編碼, 可見他們有注意到在過濾 XSS 字元時的語系問題(實務上語系問題比引號問題更容易被忽略). 然而今天即使以 htmlentities 來修復 twitter 此系列的 XSS 問題, 第六代的攻擊仍然有機會, 原因在於 htmlentities 若不指定要過濾哪些引號的話, 預設只過濾雙引號, 卻沒有過濾單引號. 可見在使用任何過濾函式都務必要先弄清楚攻效與限制, 尤其到底能夠過濾哪些字元, 遇到名不符實的函式名稱, 譬如叫作 escapeXSS 的僅過濾少數幾個 HTML 標籤, 或叫作 escapeSQL 的僅過濾單引號, 都再再考驗開發人員的細心, 務必要注意.Benson Wuhttps://www.blogger.com/profile/07694203155208007087noreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-43447286318108068682009-04-22T15:16:00.000+08:002009-04-22T15:16:00.000+08:00防範 cross-site-scripting
除了 Javascript 要有一定程度的了解以外...防範 cross-site-scripting<br /><br />除了 Javascript 要有一定程度的了解以外<br /><br />另外一個方式就是讓自己變成 Attacker<br /><br />學如何植入、變形、設計,只單看案例不做,很難會有進步…<br /><br />不少知名大站,這類的問題也是不少,有興趣可以找找~ (不負責發言 flee~Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-76480763257989597402009-04-22T15:04:00.000+08:002009-04-22T15:04:00.000+08:00我覺得那位17歲的少年要學會低調…當個白帽也好
雖然對於這個年紀的人來講真的很難
但我看再這樣下...我覺得那位17歲的少年要學會低調…當個白帽也好<br /><br />雖然對於這個年紀的人來講真的很難<br /><br />但我看再這樣下去,這位小朋友真的會把不少麻煩背在身上…<br /><br />現實的社會不會因為你年紀小就會對你仁慈Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-6023641286522437432009-04-22T00:23:00.000+08:002009-04-22T00:23:00.000+08:00是否請問這種編碼過的XSS如何防範
如果過濾字串都沒辦法,htmlentities這種應該也沒用吧
...是否請問這種編碼過的XSS如何防範<br />如果過濾字串都沒辦法,htmlentities這種應該也沒用吧<br />最近對類似的問題好困擾Hikaruhttps://www.blogger.com/profile/13588190327718161657noreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-44511302498977000492009-04-20T18:32:00.000+08:002009-04-20T18:32:00.000+08:00Hi,Wayne,我對你們的研究很impressed,尤其在你們最近對轉址攻擊研究之後.這次在你們之...Hi,Wayne,我對你們的研究很impressed,尤其在你們最近對轉址攻擊研究之後.這次在你們之前,我們也做了許多研究,發現大部分外面講的都不對,另外我也很欣賞你們這次與相關單位互動與處理的方式,很沈穩又有經驗,感覺不出是年輕的團隊.覺得你們真的是台灣很難得的團隊,也讓我對台灣的資安界越來越有信心.繼續加油,訓練課程出來時也記得公開,我們這邊也很期待.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-79375157744035185282009-04-20T13:58:00.000+08:002009-04-20T13:58:00.000+08:00我只是搞不懂這麼大的一家公司連一個簡單的XSS漏洞都沒辦法處理好,那有什麼能力保護使用者資料安全呢?...我只是搞不懂這麼大的一家公司連一個簡單的XSS漏洞都沒辦法處理好,那有什麼能力保護使用者資料安全呢?這些受害者,應該可以聯合起來找律師控告twitter,搞不好可以獲得一筆賠償呢?RogerChttp://www.rogerspeaking.comnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-25750761349656804322009-04-20T12:58:00.000+08:002009-04-20T12:58:00.000+08:00這一系列是很好的分析,是凸顯Web2.0安全議題的有利證明。這一系列是很好的分析,是凸顯Web2.0安全議題的有利證明。Alvinhttp://www.mincrosoft.comnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-53359861866899752322009-04-20T10:23:00.000+08:002009-04-20T10:23:00.000+08:00好文章,期待更加精彩的分析文章和培训课程,excellent好文章,期待更加精彩的分析文章和培训课程,excellentAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-54274802323110584172009-04-19T20:30:00.000+08:002009-04-19T20:30:00.000+08:00好文章,感恩好文章,感恩Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-53411930002405876122009-04-19T12:22:00.000+08:002009-04-19T12:22:00.000+08:00Hi bofan,謝謝您的留言!我們一直有這樣的課程,但是因為人力有限,之前並沒有公開,大部分都搭配...Hi bofan,謝謝您的留言!我們一直有這樣的課程,但是因為人力有限,之前並沒有公開,大部分都搭配產品一起。之前一些國外客戶採用了產品後看到課程內容,內部有人轉寄,結果幾百人的R&D都要上課。於是客戶希望我們另外推出課程,他們急需,我們只好額外分六天上完幾百人的課程,那時對人力有限的我們,是很大的負擔。<br /><br />但是最近團隊一直擴大,非常感謝大家的支持,我們也正著手進行將相關課程獨立出來之作業。一完成後會立刻跟大家說,真的很感謝各位一直的支持。<br /><br />如果是獨立的課程,必須更完整,例如探討到XSS蠕蟲時,最好有架設實際含有XSS的開放源碼平台,然後讓學員可以實際動手先寫蠕蟲,蠕蟲可以work了之後,再實際來修補code,最後再比對自己的修改跟後來該開放源碼團隊的修改,有何不同,是不是真的有改好。如果程式很大,是否考慮採用現有之防XSS/CSRF之framework?開放源碼中又有哪幾套?然後還可以利用mod_security(開放源碼WAF),實做看是否能在不改程式碼之下,達到防護的目的。<br /><br />這種課程與一般駭客攻防課程很不一樣,因為強調的是如何在有限的資源下,能快速找到漏洞並選擇最低成本法,準確修改之。當然這需要很了解各種漏洞的運用原理,也就是了解駭客的手法,但是那只是前半部。當你面對100個XSS弱點,跟當你面對上千個XSS弱點時,處理方式一定不一樣。在白帽訓練課程中,如何有效運用各種工具或framework,減少工作時數,以及準確分析的方法與思維面向,都是重點。<br /><br />因為獨立的訓練較搭配產品的訓練,要求更高,所以我們內部正進行相關準備,覺得品質到達水準後,會馬上跟大家說,謝謝您!Wayne Huanghttps://www.blogger.com/profile/16812934095135423880noreply@blogger.comtag:blogger.com,1999:blog-1441759431140700676.post-81260523710449991192009-04-19T09:03:00.000+08:002009-04-19T09:03:00.000+08:00謝謝這麼詳細的分析。
不知道阿碼有沒有考慮辦短期的資安課程。例如:針對網路攻擊(怎麼去分析問題點在哪...謝謝這麼詳細的分析。<br />不知道阿碼有沒有考慮辦短期的資安課程。例如:針對網路攻擊(怎麼去分析問題點在哪兒)、工具使用及如何著手安全問題的分析、需具備哪方面的知識等等。Anonymoushttps://www.blogger.com/profile/05636626760413168845noreply@blogger.com