XSS | iThome

專職網頁開發及Google漏洞賞金獵人的Thomas Orlita，在今年初發現Google某個後台系統存在XSS漏洞，Google在接到通報後已完成修補

2019-06-17

詮睿科技資安顧問陳昱崇（Zero）認為，網站開發者在建置時，往往忽略自己開發的功能，很可能潛藏了駭客眼中能用來發動攻擊的弱點，為此他在1月23日於富邦國際會議中心舉辦的自動化維運與資訊安全趨勢研討會中，揭露常見的網站威脅，提醒企業正視相關危機。

2019-02-01

這兩個漏洞嚴重的地方在於，駭客可以自己開始與被害人的對話，而且在攻擊的過程不需要被害人參與互動，Windows、Linux以及macOS平臺的桌面應用程式都在漏洞影響範圍之內。

2018-05-18

OWASP在11月20日公布最新版十大網站資安風險，納入社群建議和實際調查結果後，調整了多項資安風險項目，各平臺常見的XML外部處理器漏洞，Java平臺、PHP或Node.js等平臺常見的不安全反序列化漏洞，以及紀錄與監控不足風險，則是2017年上榜的網路安全新風險

2017-11-21

在前端的程式安全設計上，我們面臨的攻擊模式眾多，能否充分運用相關工具也是非常必要的考量

2017-08-06

新釋出的WordPress 4.7.2修補了三個漏洞，包含XSS跨站指令碼及SQL injection漏洞，WordPress強烈建議尚未用戶的儘快更新。

2017-01-30

使用者登入麥當勞網站時，可要求網站記住用戶的密碼，但研究人員發現麥當勞將密碼存於cookie，且可在用戶端解密，駭客可透過該站另一個XSS漏洞竊取cookie，就能解密取得用戶的密碼。

2017-01-18

中國資安業者公布一份2016年上半年中國網站安全報告，平均每個網站有773個漏洞，比去年增加快2成；Web攻擊事件中，近3成是SQL Injection，近2成是跨站腳本攻擊

2016-12-29

被發現的重大漏洞為Yahoo郵件的附加連結功能，由於缺乏過濾機制予以封鎖，駭客可寄送含有惡意程式的郵件，被害者沒有點選連結或開啟檔案就會被感染，Yahoo已接到通報並於11月底修補該漏洞。

2016-12-12

為協助開發人員制定有效的CSP內容安全政策，防範XSS跨站指令碼攻擊，Google釋出CSP Evaluator及CSP Mitigator兩項工具，其中CSP Evaluator可協助偵測內容政策的成效，而CSP Mitigator並檢驗應用程式與CSP的相容性。

2016-09-29

這些XSS漏洞允許駭客存取系統上所儲存的cookie、機密資訊或置換網頁，駭客可根據所取得的資訊展開進一步的攻擊，受影響的版本包括Zen Cart 1.5.4，也可能殃及先前的版本。資安業者呼籲使用者儘快部署最新的Zen Cart 1.5.5。

2016-03-29

最新的WordPress 4.4.1出爐，該版本一口氣修補了52個臭蟲，包含WordPress 4.4及之前的版本都受到的XSS漏洞。官方強烈鼓勵用戶立即更新WordPress網站。

2016-01-08