| Firefox | 側載入 | CSS | XSS

Firefox 74終止側載入擴充套件安裝支援並停用TLS 1.0/1.1

現在Firefox上安裝擴充套件皆需要使用者明確參與,但延長支援版本(ESR)仍會繼續支援側載入安裝方法

2020-03-12

| google | Gmail | XSS

Google動態郵件功能出現XSS漏洞,可讓駭客透過Gmail發動攻擊

這類手法會將DOM元素的id 屬性加為文件的屬性或網頁的全域變數,導致原有文件屬性或全域變數被覆蓋,或者劫持某些變數內容,而造成XSS攻擊。

2019-11-19

| google | 漏洞 | XSS

16歲研究人員發現Google對外網站XSS漏洞可駭入內部網站

專職網頁開發及Google漏洞賞金獵人的Thomas Orlita,在今年初發現Google某個後台系統存在XSS漏洞,Google在接到通報後已完成修補

2019-06-17

| 網站安全 | SQL injection | WAF | XSS | XXE | Radware | OPSWAT

網站的功能可能就是駭客攻擊的弱點,資安顧問揭露網站的潛在威脅

詮睿科技資安顧問陳昱崇(Zero)認為,網站開發者在建置時,往往忽略自己開發的功能,很可能潛藏了駭客眼中能用來發動攻擊的弱點,為此他在1月23日於富邦國際會議中心舉辦的自動化維運與資訊安全趨勢研討會中,揭露常見的網站威脅,提醒企業正視相關危機。

2019-02-01

| Signal | XSS | 加密通訊

Signal漏洞連環爆! 桌面版應用程式一周內被爆兩個程式碼注入漏洞

這兩個漏洞嚴重的地方在於,駭客可以自己開始與被害人的對話,而且在攻擊的過程不需要被害人參與互動,Windows、Linux以及macOS平臺的桌面應用程式都在漏洞影響範圍之內。

2018-05-18

| OWASP | Top 10 | XSS | CSRF | XML | XXE | 反序列化 | 微服務

新版OWASP十大網站安全風險排名出爐,微服務風潮帶來三大新安全風險

OWASP在11月20日公布最新版十大網站資安風險,納入社群建議和實際調查結果後,調整了多項資安風險項目,各平臺常見的XML外部處理器漏洞,Java平臺、PHP或Node.js等平臺常見的不安全反序列化漏洞,以及紀錄與監控不足風險,則是2017年上榜的網路安全新風險

2017-11-21

| XSS | ESAPI

XSS與ESAPI

在前端的程式安全設計上,我們面臨的攻擊模式眾多,能否充分運用相關工具也是非常必要的考量

2017-08-06

| WordPress | XSS | SQL injection | 漏洞

WordPress修補XSS與SQL injection等三個安全漏洞

新釋出的WordPress 4.7.2修補了三個漏洞,包含XSS跨站指令碼及SQL injection漏洞,WordPress強烈建議尚未用戶的儘快更新。

2017-01-30

| 麥當勞 | XSS | 漏洞 | 密碼

麥當勞官網遭爆有XSS漏洞,可解密竊取用戶密碼

使用者登入麥當勞網站時,可要求網站記住用戶的密碼,但研究人員發現麥當勞將密碼存於cookie,且可在用戶端解密,駭客可透過該站另一個XSS漏洞竊取cookie,就能解密取得用戶的密碼。

2017-01-18

| 資安周報 | XSS | 跨站腳本攻擊 | SQL injection | 2016年上半年中國網站安全報告 | IT周報

【資安周報第55期】中國網站比你想的更危險,平均有773個漏洞沒修

中國資安業者公布一份2016年上半年中國網站安全報告,平均每個網站有773個漏洞,比去年增加快2成;Web攻擊事件中,近3成是SQL Injection,近2成是跨站腳本攻擊

 

2016-12-29

| Yahoo mail | 電子郵件 | 漏洞 | XSS

Yahoo Mail有重大XSS漏洞,打開郵件就會受駭

被發現的重大漏洞為Yahoo郵件的附加連結功能,由於缺乏過濾機制予以封鎖,駭客可寄送含有惡意程式的郵件,被害者沒有點選連結或開啟檔案就會被感染,Yahoo已接到通報並於11月底修補該漏洞。

2016-12-12

| google | XSS | 跨站指令碼攻擊

Google釋出兩項CSP安全工具以防範XSS攻擊

為協助開發人員制定有效的CSP內容安全政策,防範XSS跨站指令碼攻擊,Google釋出CSP Evaluator及CSP Mitigator兩項工具,其中CSP Evaluator可協助偵測內容政策的成效,而CSP Mitigator並檢驗應用程式與CSP的相容性。

2016-09-29