Re: [報導]小心被駭！7成合法網站有毒

看板AntiVirus (防毒)作者kkc0828 (慢跑後衛)時間17年前 (2009/04/23 17:07)推噓4(4推 0噓 7→)

留言11則, 5人參與討論串2/2 (看更多)

: ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 61.229.58.175 : 推 springman:文中所說的惡意程式「淪陷排行榜」不知公佈在哪裡？ 04/23 14:25 : → springman:想看看我常用的網站有沒有上榜 04/23 14:25 : 推 npr:http://rogerspeaking.com/2007/01/32 04/23 14:30 : 推 springman:謝謝，但這是 2007 年初的文章，好像與此報導中的不一樣 04/23 14:35 : 推 npr:http://www.itis.tw/compromised 資安之眼排行榜 04/23 14:47 : 推 springman:謝謝、這個應該就是了，看來還真的有點可怕。 04/23 15:13 : 推 cilovemi:真的很可怕....... 04/23 16:15 : 推 springman:突然間想到，大家應該多查查自己常用的網站有沒有上榜 04/23 16:23 XD : → springman:若有的話，就提醒網站管理者修正，共同讓網路更安全 04/23 16:23 XD 2 很多時候不是提醒與否的問題，很多情況是管理者也自知有問題，但是沒處置或無能為力。 1. 心態問題這兩天的消息... 美國尖端科技F-35資料遭中共竊取 http://www.ithome.com.tw/itadm/article.php?c=54627 全亞洲有哪個公司投入在資安維護上的資金比美國空軍高的？更何況資安在台灣一直一直都是不被關注的一塊，你叫老闆沒事一年花個己百萬去作資安維護？！不可能阿！！所以都是倒楣的 MIS 身兼資安維護的工作，那真的是幹在心裡口難開。又怎麼能夠期待有好成效？ 2. 家醜不外揚碰到資安問題，大部分的單位回答方式不外乎：『謝謝指教，我們一切依照規定處理』『漏洞已經修補，未造成資料外流』『因為 oo xx ，所以只有少部份不重要資料受到損壞』全台最大暴力集團的制式回答：『我們使用實體隔離，資料無外洩可能』只能說大部分的人認為資安事件是可恥的！是骯髒的！！所以選擇遮遮掩掩打混矇混過去，反正網友是健忘的， ptt發生過資安事件、hinet發生過、tw.yahoo發生過，有哪家正式發表過聲明？ rogerspeaking 也說，當他公佈一個最新漏洞之後，常常受到網站管理人的責難，因為公佈漏洞讓網站"丟臉"，害MIS被罵，所以指責 rogerspeaking 『怎麼可以隨便公佈網站木馬！！』『大砲開講謠言惑眾！！！』『抵制rogerspeaking到底！！！』 ........ MIS寧願漏洞資訊不公開，也不願意積極修補漏洞。 3. 問題真的不好修也是最近的消息漏洞修補不完，Twitter 蠕蟲五度發威：詳探 Mikeyy (StalkDaily) 蠕蟲一代至五代細節 http://armorize-cht.blogspot.com/2009/04/twitter-mikeyy-stalkdaily.html 你可以想像你家門壞了，被小偷連闖五次嗎？ Twitter 與 Mikeyy蠕蟲的競賽已經到了匪夷所思的地步，到後期，Mikeyy幾乎已經是挑名了說：twitter你家有漏洞，我要炸翻你家。 twitter 也知道問題，可是還是修不好，之後陸續又被搞翻了幾次。小美家都沒被炸得這麼慘。 twitter 絕對不是特例，只是倒楣碰上比較執著的cracker，試問，其他小網站呢？ 4. 上榜？如何知道網站是不是中鏢了？靠第三方觀察者？靠掃毒軟體？市面上那家掃毒軟體可以掃描網站病毒？有一些... 有哪些可以針對ajax掃描？有哪些可以針對 js 行為進行研判？我說的不是 plaintext 的 pattern ，而是針對有 xss 行為的 js 進行研判有沒有這種掃毒軟體？ : 推 cilovemi:一堆旅遊網有木馬....還真不少....... 04/23 16:25 : 推 npr:看大砲開講應該知道很多網站提醒了還是沒做修正 04/23 16:26 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.124.214.169