歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
網軍再度利用XSS漏洞 搜括Web mail帳密
2009 / 07 / 13
張維君
許多網頁電子郵件管理者仍然輕忽跨站指令碼漏洞問題,單位內Webmail使用者帳號、密碼完全曝光。
本刊去年11月號(58期)專家開講文章「電子郵件密碼修改無效」曾揭露許多Web mail存有跨站指令碼漏洞(XSS),駭客可竊取使用者信箱帳號密碼及暗中同步收信的問題。事實上,據了解此一事件並非單純少數個案,全台灣許多單位內網頁電子郵件信箱的使用者帳號、密碼資料已被中國網軍設下的陷阱給大舉網羅,而相關單位卻渾然未覺。
與詐術合而為一的攻擊手法
熟悉網路攻擊手法的讀者對於XSS攻擊應該不陌生,早在2~3年前駭客就開始利用XSS弱點寄發各種郵件誘騙使用者。也因此,大家開始對使用者宣導不要點選來路不明的郵件、不要隨意開啟附件、點擊網址連結等。但從這一波被網軍竊走的Web mail帳密來看,雖然仍舊是利用XSS弱點,但用來包裝的卻是看似一切正常的郵件,且寄件者並非來路不明,而是你所認識的人。
這波攻擊之所以令人難以招架的原因在於,駭客將含有惡意程式碼的一段Javascript內嵌在惡意郵件當中,只要使用者一開啟該封郵件,惡意程式就立即將使用者的cookie資料傳送回對岸駭客手中。無論所使用的郵件系統之cookie是否有加密,駭客會利用不同郵件系統的特性,特別針對該系統改寫攻擊程式,因此即便是不同之系統,不同公司banner,駭客依然能夠有效地獲取用戶資料。據了解,近2個月來,已有許多知名單位Web mail信箱帳密已淪陷,包括中○電信內部員工信箱、民○黨Web mail系統在內。更誇張的是,信箱內轉寄功能被暗中設定,所有郵件被駭客同步接收的也不在少數。
這類郵件外觀主旨大多是簡單的「您好」,甚至只是「﹒﹒」(點點),其餘內文均留下空白。也有開啟郵件後另外跳出系統登入畫面,要求輸入帳號密碼的詐騙郵件,但無論何種外觀,其背後均埋伏著惡意程式。
整起事件歸咎原因,XSS漏洞並非刁鑽難解,而是許多系統管理人員對此問題太疏忽大意。維護郵件系統正常收發信固然是首要之務,但默默進行的帳號竊取影響更為深遠。在非必要的情形下,沒有系統管理者想去安裝修補程式或變更系統設定,畢竟郵件系統對整個組織、企業來說至關重要,安裝修補程式後若影響收發信,資訊人員壓力就大了。但這回茲事體大,所有Web mail系統管理者不應輕視此問題,不論是使用開放原始碼工具自行開發郵件系統的管理人員,或是使用商用Web mail產品的單位。
網擎資訊研發副總經理翁嘉頎表示,針對此類攻擊事件的處理方式,過去3年內曾進行過2次主動電話通知客戶並協助修補此漏洞,也會去整個掃描使用Web mail產品客戶的IP位址,來檢查客戶端是否更新。但不排除有部分未續簽維護合約的客戶仍未修補漏洞,可能遭到帳密外洩問題。網擎強調,不論客戶是否簽維護合約,對於所有仍在維護中的產品都會提供客戶修補程式,除非該客戶所使用的產品版本已超過產品維護週期,以網擎來說約3年。至於過去產品中Javacript功能為強制支援,在其2008年發行的Web mail產品版本中已可讓使用者自行設定是否執行Javascript。
瀏覽器不執行Javascript 完整端點防護
針對這次的攻擊情形,除了系統管理者需修補掉Web mail系統上的漏洞之外,資安專家建議使用者端最好也能在瀏覽器設定上選擇不執行Javascript,雖然畫面呈現較不美觀且可能造成使用者操作上較為不便,但就安全性而言,會是比較一勞永逸的作法。
此外,賽門鐵克資深技術顧問莊添發表示,光靠防毒軟體其實無法攔截XSS的攻擊,因為防毒軟體主要是做檔案的掃描,企業應透過內含防火牆、主機型入侵防禦系統(HIPS)等功能在內的端點安全防護方案才能有效抵擋此類攻擊,就算惡意程式要將cookie資料往外送也會被防火牆及時阻擋下來。
XSS
Javascript
防火牆
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
中國駭客組織「銀狐」假冒DeepSeek安裝程式 鎖定台灣進行網路間諜攻擊
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光
勒索軟體攻擊手法升級:Python腳本結合Microsoft Teams釣魚成新威脅
資安人科技網
文章推薦
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:不到三成企業具備了解API中敏感資料暴露情況的能力