William’s Blog readings, ideas, feelings, photos, etc. by William Yeh

看了〈無名小站遇「駭」，個資流入中國〉這篇報導，再調出幾個月前 gslin 寫的文章〈無名小站的 XSS 安全漏洞〉之後，覺得這真的是很容易疏忽的漏洞，自己也常會不小心就誤入陷阱。因此，特地整理一些 XSS 相關資訊，以資參考。

簡介

• XSS (Cross Site Scripting) 攻擊會讓您遺失 Cookie 中的資料
  如果你懶得看一大堆資料，那麼，看這一份就夠了。
• XSS, Cookies, and Session ID Authentication – Three Ingredients for a Successful Hack
  大多數人並不瞭解 cross site scripting (XSS) 的可怕，本文作者 Seth Fogie 示範如何以 XSS 穿透網站的認證機制，取得 “shell” 權力，並介紹防制之道。
• JavaScript in CSS files
• The Cross Site Scripting (XSS) FAQ

案例

• [無名] 無名小站的 XSS 安全漏洞
• [無名] 刑事警察局查獲２位學生駭客入侵數十台學校、企業主機案
• [無名] 十多分鐘抵禦 XSS 且擊退攻擊的神奇技術？
• [MySpace] 淺談 XSS (X*ite So Suck)
• [MySpace] Cross-Site Scripting Worm Hits MySpace
• [Photo.xuite] 沒有「看的到」的欄位就不可以 XSS?
• [樂多] 文章回應 Html tag, Javascript 過濾

分析

• XSS (Cross Site Scripting) Cheat Sheet
• OWASP 對於 XSS 的說帖
• Wikipedia 的 XSS 條目

工具

• Perl: Preventing Cross-site Scripting Attacks In Your Web Applications
• PHP: OWASP PHP Filters
• Whitelist vs. blacklist: TextHelper.sanitize(html) doesn’t fully protect against XSS

◤您也可以閱讀以下文章：

• 雜談：arXiv 與特立獨行人士
• JavaTwo 2006 預告：當 Java 遇見 PHP
• WordPress 升級至 2.0
• 「文件特徵自動擷取」專利迴避分析
• Google 李開復的演講

著作授權方式：Creative Commons 條款。



追蹤留言回應：以 RSS 2.0 方式。
文章永久網址：
  » http://william.cswiz.org/blog/archives/2006-11-21/xss-memo/
引用通告 (trackback)：
  » http://william.cswiz.org/blog/archives/2006-11-21/xss-memo/trackback/


     
本站歡迎您以合乎創用CC 的方式，將文章選錄至網路書籤或社群網站，也別忘了將您寶貴的意見（尤其是延伸的評論、補充、彙整、反駁等）留言在本站。謝謝！