web2.0网站漏洞安危多网路恶意活动更创新高

资安厂商赛门铁克发表第14期全球网际网路资讯安全威胁研究报告发现, “跨网站脚本攻击” (跨站点脚本)在2008年里比2007年更为升高,其中有63 % ,影响了网路应用程式。报告更指出, 2008年有一万二千八百多个被提报弱点攻击是针对特定网站的“跨网站脚本攻击” ,但其中却只有3 %获得修正。

何谓“跨网站脚本攻击” ?简言之就是骇客利用网站网页里搭配的JavaScript程式插入恶意的的HTML代码,当使用者在浏览网页时,这个恶意的代码就会被执行并随着回应讯息时,感染给使用者。例如,当使用者在部落格里修改个人资料时,假使该部落格已有跨站脚本漏洞,并被骇客植入恶意的程式码,当使用者登入时,伺服器会根据 相关的资料回应讯息给使用者,而此刻使用者的个人资料也会同时传送到骇客手中,骇客可以再利用使用者的登入资讯登入,并利用使用者的名义发送相关的讯息给 其他使用者,当其他使用者也进入该网页浏览时,就会被感染,并依此继续再将蠕虫扩散出去。

例如,上星期才爆发针对Twitter的的跨网站脚本攻击事件,以及供应网站也发生过类似的跨网站脚本攻击事件,甚至台湾的无名小站被发现有跨站脚本漏洞而造成个资被骇,这些都是被“跨网站脚本攻击”的状况。

尤其在web2.0网站当道之际,越来越多网站强调与使用者的互动性,也越来越多网站使用的Javascript来开发,加上现在许多网站都有留言板, 讨论区等功能,允许使用者可以输入文字互动,如果网页程式开发者在缺乏相关的资讯安全概念之下,在使用者可以输入的内容上未做有效可靠的验证,就可能让跨 站脚本漏洞攻击事件不断发生。

2.0时代让网路发展更为人性化,拥有更高的互动性,但也常常因设计者在未考虑到周全的安全性的情况下,造成更多漏洞。而“跨网站脚本攻击”更是被列为近年来十大网路资安攻击之首。

此外,赛门铁克也在这次的报告中指出,透过网页浏览( Web浏览)已是目前最主要新病毒感染的主要来源途径,其中有高达九成以上都是要偷取个人资料,并且多以键盘侧录来窃取个人的银行帐等资料最多。

赛门铁克更表示,单单去年每月就在全球平均阻挡了二亿四千五百万个恶意程式码攻击。而且恶意程式码的总数不断升高,根据赛门铁克的资料显示,去年 就建立了超过一百六十万个新的恶意程式码特征,因此赛门铁克提醒使用者,无论是浏览网页,或收发电子邮件,以及进行任何电子商务活动时,一定要小心谨慎, 以确保自身安全,否则线上的安危可能就会演变成现实生活的安危事件。
本文留言

近期读者推荐