哇寶部�格

『滲��兩個字，充滿了007諜報員的fu，在冷�殘酷的背後，以細心�密的方��得內部機密文件後，�毫�留情的幹掉�方，甚至是慢慢玩弄�方 ......

在專案製作�程中，接觸到了XSS這個�詞，一個��的細節，就�能讓用戶的個人資料外�，實在大��得。

XSS 的全�是Cross Site Scripting(跨網站指令碼)，�稱還蠻有趣的，明明就是C開頭，怎��CSS呢，因為......CSS 已經被串接樣�表 Cascading Style Sheets �先一步，就跟雙胞胎出生一樣，先被抓出來的是哥哥，就算�是晚幾秒�，就�能當一輩�的弟弟(有點離題)，而XSS是一種網站的安全�洞攻擊，有心人士���自行輸入的資料，值入程�碼，當其他使用者，�覽網�時，��心開到了有心人士的網�，就大魚上鉤，任他擺佈了。

XSS的攻擊方�，基本手法就是使用資料包�程�碼，�到後端程�，�是">alert(document.cookie)"，�外還有很多測試的語法：

• >alert(document.cookie)
• ='>alert(document.cookie)
• alert(document.cookie)
• alert(vulnerable)
• %3Cscript%3Ealert('XSS')%3C/script%3E
• alert('XSS')

測試語法��考：
http://anti-hacker.blogspot.com/2007/07/xss.html

測試語法的數�之多，��枚舉，總之就是程�碼會以眾多形�出�，跟變形金剛一樣，一下是貨櫃車，一下��是推土機，��有創�就�以�斷的變形。主�是��"編碼"，更能讓語法的型態多樣化，當順利值入程�碼後，�以很輕易的將"資料移轉"，甚至把整塊餅乾(cookie)都�給別人�。

在資安論壇(http://forum.icst.org.tw/phpbb/viewtopic.php?f=29&t=15572)�到了簡易��XSS方法：

• 步驟1ã€�å°�所有用戶æ��交內容進行å�¯é� çš„輸入驗證，包括å°�URLã€�查詢關é�µå­—ã€�HTTPé ­ã€�POST數據等，僅接å�—指定長度範åœ�å…§ã€�採用é�©ç•¶æ ¼å¼�ã€�採用所é �期的字符的內容æ��交，å°�其他的一律é�Žæ¿¾ã€‚
• 步驟2ã€�實ç�¾Session標記(session tokens)ã€�CAPTCHA系統或者HTTP引用頭檢查，以防功能被第三方網站所執行。
• 步驟3ã€�確èª�接收的的內容被妥善的è¦�範化，僅包å�«æœ€å°�çš„ã€�安全的Tag(沒有javascript)，去掉任何å°�é� ç¨‹å…§å®¹çš„引用(尤其是樣å¼�表和javascript)，使用HTTP onlyçš„cookie。

課後分享：
在處�所有��輸入的資料，都�好好�濾所有變數後，�能存入資料庫，�外，若是有變數�放入��樣��，也需��濾�，多�處�，�能確�網站�被XSS攻陷。