即使網頁開發者意識到網絡安全的重要,網站仍然會有漏洞,特別是 XSS。日前有白帽黑客發現美國電視劇《黑客軍團》(Mr. Robot)的新網站有 XSS 漏洞,黑客可藉此獲得訪客的 Facebook 資料,但網站沒有任何聯絡方法,只好通知製作人 Sam Esmail。
顧名思義,《黑客軍團》(Mr. Robot)是一套關於黑客組織的美國電視劇,但劇集題材關於資訊科技不代表網站是安全。白帽黑客 Zemnmez 日前發現該劇的新網站有 XSS 漏洞,攻擊者可在 whoismrrobot.com/fsociety 等需要 Facebook 登入的網頁獲得訪客的 Facebook 資料。
諷刺的是,Zemnmez 發現漏洞的日子是《黑客軍團》展開第二季宣傳活動的同一日。此外當 Zemnmez 打算把漏洞向網站負責人透露時,發現網站沒有聯絡資料,要《福布斯》建議他聯絡製作人 Sam Esmail,他才可在舊的域名記錄找到 Esmail 的聯絡方法。最終網站的 XSS 漏洞已被修複。
XSS 是網站最常見的漏洞,Unwire.pro 早前也報導過多個內容管理系統 (CMS)的 XSS 漏洞,如 WordPress、Magento、ZenCart。此外即使是大型網站如 Facebook、Paypal 也曾被發現有 XSS 漏洞。
Source : Forbes