李蕙心 報道hueyshin@sph.com.sg黑客利用“跨網站指令碼”(cross-site scripting)手法侵入總統府和總理公署網站,儲存專家表示這種手法極為普遍,專門針對網站上的互動性功能,如搜索工具欄。原因是這類網站功能往往會因為在編寫網頁時不夠嚴謹,而淪為黑客下手的目標。資信通訊發展管理局政府首席資訊辦公室助理局長江永元昨天在記者會上說,黑客把一組由數字和英文字母組成的網頁指令碼(script),直接輸入在出事網站的搜索工具欄內,使得原本該出現搜索結果的網頁,卻轉到黑客設計的假網頁。工具欄如何被黑客操控令人費解的是,一個常見的穀歌搜索工具欄究竟為何因為一組指令碼而被黑客操控,打開黑客的假頁面?安世科安防科技(Ademco)銷售與市場營銷總監林柏力受詢時說,工具欄應該只有搜索功能,但是如果編寫工具欄程序時不夠嚴謹,沒有核查指令碼的mini storage能,就會造成工具欄除了搜索,還會執行指令。黑客發現總統府和總理公署網站的搜索工具欄有這個弱點並加以利用,林柏力相信,工具欄沒有核查指令就執行,使得搜索器把用戶導向假網頁。他還說:“這類惡意指令碼可在互聯網上找到,若要自己編寫也不難,理工學院學生也有能力編寫。”南洋理工大學電腦工程系副教授奧文(Alwen Fernanto Tiu)說,用“跨網站指令碼”手法攻擊網站,破壞程度可大可小。有些只是打開其他網頁,嚴重的話,可能通過所打開的網頁,發送病毒到使用者的電腦或網站服務器。他還說,要防止這類事件發生,網站編寫員必須讓網站核查每一個用戶輸入的字,並刪除不合規定的字。另一方面,中央公積金局昨晚發文告說,公積金局網站和電子服務從昨晚9時至11日早上8時進行預防性維修工作。在這期間公�將無法使用服務。若有急事,公�可在辦公時間內到公積金局服務中心尋求協助。self storage
創作者介紹
創作者 sgusers9的部落格 的頭像
sgusers9

sgusers9的部落格

sgusers9 發表在 痞客邦 留言(0) 人氣( 0 )