2014年1月8日 星期三

中興大學招生網站出現XSS漏洞

中興大學招生網站出現XSS漏洞

中興大學校方招生網頁上存在漏洞,有心人可利用該漏洞進行XSS攻擊,假造幾可亂真的招生網頁,騙取使用者個資生。目前校方已將該網頁關閉並進行修復。


國立中興大學招生網站存在XSS(Cross site scripting)漏洞,網友發現之後為興大碩士在職招生網頁加入動漫風的招生廣告在網路上流傳,目前興大已關閉整個招生網站以修復問題。但資安專家提醒,校方也應注意後續可能衍生的個資外洩問題。

上週五(1/3)筆名為「名無乚」的網友發現中興大學網站招生網頁中存在安全漏洞,只要更改該招生網頁網址部份參數,就能以iframe方式隨意將外部網站內容嵌入興大招生網站。「名無乚」除了向中興大學反映,同時也以動漫圖片製作偽造的招生網頁讓校方了解,不料該示範網頁在網路上傳開並引發討論,甚至有網友以為興大招生網站遭駭客入侵。

該「偽造」的招生網頁在網路流傳開之後,中興大學於1月4日上午在臉書上發出公告,提醒使用者注意網路上流傳假造的中興大學招生網頁,同時關閉招生網頁進行檢查。

中興大學發出新聞聲明表示,1月3日得到消息後,經調查並網站功能均正常,並未被駭客入侵,網管人員已對網站進行安全性的修正。

中興大學指出,該事件消息在1月3日得知,但因為1月4日為該校碩士在職專班報名最後截止日,為免影響報名者權益所以未關閉招生網頁以修復問題,先在臉書上公告提醒大家注意。校方網站未被入侵,為避免誤連假造網頁,提醒使用者不要輕易點入他人提供的招生學頁連結,可依學校網站進入招生頁面。

目前為止,今中興大學招生網頁仍未重新上線。至於何時修復再次對外開放?該校招生組回應,校方得知網路上出現冒牌網頁後,已馬上檢視招生網頁是否有漏洞,同時進行修補,將儘最大努力在最短時間內修復。

對於這起資安事件,資安專家表示,這是傳統網站設計上的瑕玼,為標準XSS的一種,網站似乎未經安全檢測便上線,明顯的語法機制進行轉址是危險且不嚴謹的做法,雖然對網站功能影響有限,但對上網填寫資料的使用者而言則有風險。在發現之前,若有使用者已被騙取個人資料,校方應思考如何處理,特別是個資法實施後,若使用者個資外流,校方也難辭其咎。

他表示,網頁設計常跟設計者本身習慣、管理機制是否完善有相當的關係,要避免這類問題只有從嚴諷檢查程序上著手,撰寫語法時也要多加注意。另外,上線的完整檢查制度可避免盲點產生,更重要的是撰寫與維護者的危機意識需要提昇,因為網頁不是只給你想接觸的人看,由於沒有限制誰能瀏覽網頁,思慮上必需相當周延才行。

轉載自《iThome》