總統府發言人：只是惡作劇，網站沒有被入侵

2009 / 08 / 31

張維君整理

上周最熱門的資安話題，就屬總統府網頁出現XSS漏洞的新聞。這應該是第一次有總統府發言人出來針對資安問題召開記者會，也許因為這次在背後惡作劇的網友刻意選擇在此時刻以敏感題材挖苦執政當局，才讓相關官員趕緊出來解釋。如發言人所言，這次總統府網站確實沒有被「入侵」，入侵意指確實更改到主機上的檔案或取得系統權限等行為，而此次的手法，是利用網頁上的XSS(跨站指令碼)漏洞，變更連結到特定網站，單純是網友惡作劇。儘管如此，但網頁存有XSS漏洞也讓人頗感驚訝。畢竟XSS漏洞老早在幾年前OWASP Top10當中就是屬一屬二的老問題，並非發言人所指駭客手法「日新月異」，重要網站實在不應存有此老漏洞。此一漏洞通常是駭客進一步用來轉址到釣魚網站，藉以騙取使用者輸入帳號、密碼等資料，用於詐騙、犯罪。政府網站存有此漏洞，可說是變相助長網路犯罪。

XSS 跨站指令碼攻擊總統府網站安全