歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
投降輸一半?YouTube 遭駭
2010 / 07 / 05
吳依恂
美國獨立紀念日(7/4)的寧靜早上,Facebook及Twitter網友們正廣泛討論YouTube遭入侵的事情。Google旗下的線上影音頻道YouTube回應評論功能頁面被找到漏洞,進行了(XSS, cross site scripting)攻擊。攻擊者特別針對加拿大少年歌手Justin Bieber的影音網頁,瀏覽者將會看到一個彈出視窗,並且導引到某成人網站上去。
Google在事發一小時內便關閉該評論功能,並且緊急修復該漏洞。其發言人提醒瀏覽過受害網頁的YouTube用戶應該重新登出再登入,帳號密碼的Cookie Session才會被登出,避免駭客取得有效帳號密碼。他也表示,YouTube帳號密碼並不能登入Google帳戶,所以不致於影響到Google用戶安全。
資安顧問吳東霖推斷這應該是YouTube針對網頁程式碼過濾不完全的關係,當瀏覽者貼評論的時候,若剛開始是貼「<SCRIPT>」,則內容會被轉成HTML Code,但是接下來的內容就不會再被轉換,造成攻擊者得逞,等於是功夫只做了一半。他推測會這樣設計或許是當初考慮到流量,因為做大量過濾可能會影響到效能。他認為比較好的做法,起碼應該把「<>;".()=''/」這些比較高風險的符號encode成HTML Code。(例:HTML Code Table http://www.ascii.cl/htmlcodes.htm)
XSS
YouTube
Google
美國獨立紀念日
帳號密碼
漏洞
cross site scripting
網頁
Google
被駭
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
Cisco 統一通訊管理器爆重大資安漏洞 硬編碼後門帳戶恐遭遠端攻擊
企業資安防禦全面革新 AI × SASE × IAM × MDR
資安人科技網
文章推薦
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
駭客透過惡意擴充套件 瞄準開發人員發動攻擊