SharePoint Server 2007及SharePoint Services 3.0的使用者要注意了,4/29微軟發表了編號983438的安全聲明,警告使用者該兩樣產品含有一XSS安全漏洞,主要是由於SharePoint help.aspx的這個XML檔案會顯露出弱點,造成XSS攻擊得以成功。簡單來說,就是錯誤的頁面沒有處理好。
SharePoint Server 2007多被一般公司用作知識管理系統(KM, Knowledge Management),主要是可讓個人以及組織做有效的知識共享,藉此解決問題、分享經驗等。微軟目前建議使用單位的IT管理人員,應盡速限制外界存取SharePoint help.aspx檔案。
資安顧問翁浩正提到,由於錯誤頁面沒有做好處理,導致使用者的要求直接顯示於頁面上而引發XSS弱點,造成攻擊者可以依此任意輸入攻擊字串。雖然外部攻擊可以暫時阻擋,但內部依然可以存取,為避免內部有人也利用XSS攻擊,所以可以運用瀏覽的過濾XSS的方法,只是,他也提醒,不只是網路管理者要把它擋掉,使用者自身也應該要注意點擊的連結是否安全,切勿點擊來路不明的連結。
雖然除了IE8以外的其他瀏覽器也有XSS的阻擋功能,不過瀏覽器主要功用並非拿來阻擋XSS,所以是否能夠針對該種攻擊進行阻擋就不一定了。 目前除了IE 8、Firefox+noScript之外,其他瀏覽器目前尚未進行阻擋。
圖說:這是該XSS弱點實作攻擊頁面,攻擊者可以任意插iframe到頁面中,藉此竊取cookie。