駭客如何用XSS讀取 Cookie? 這篇文章主要透過一個比較完整的例子說明 XSS的攻擊過程。 為什麼駭客要做這樣的攻擊? 測試工具為何? 如何觀察? 防護的建議。 Reflected Cross-site Scripting (XSS) XSS 或是 JavaScript Injection 都是一般的通稱。 這邊要介紹的是 “Reflected” cross-site Scripting的…
ClickJacking(掛羊頭賣狗肉)的駭客攻擊方法
ClickJacking(掛羊頭賣狗肉)的駭客攻擊方法 這篇文章主要說明一種特別的攻擊方式ClickJacking, 駭客透過一個假的網頁誘導使用者輸入帳號密碼,但是實際上背後是銀行網站。 讓使用者在不知不決的狀況下就登入銀行網站。這樣的攻擊方式就稱為 ClickJacking。 但是如何測試或是知道網站是否會被受到這樣的攻擊呢? 如何防護? 這篇文章將說明這些議題。 ClickJacking攻擊原理 駭客通常利用網頁的 iFrame 將假造的網頁與正常的網頁載入,在透過 iframe visibility 的屬性設定, 將正常網站的網頁(如:銀行網頁)隱藏,讓使用者看到是一個假造的網頁(如:中獎通知) 當使用者輸入帳號密碼時,其實背後是登入實際的網站。駭客因此藉接獲取該銀行的帳號密碼與存取權限。 因此,要知道網站是否會收到這樣的攻擊,就必須測試網站是否可以在任意的 HTML iframe 被載入。…