IT X 4

隨著網際網路的發展快速，各種網站也如雨後春筍般的快速發展，然而事情都是一體兩面的，在這改變人類行為的偉大技術上，惡意網站也跟著成長。從釣魚網站、惡意連結至被 XSS 後的站台數量難以估計，除了少數的惡意網站會提醒外，搜尋引擎清單中的網站安不安全也要點下去才知道。而這次要介紹的是 TigerLin 非常愛用的安全工具：McAfee SiteAdvisor，此工具除了 Internet Explorer 外也支援了 FireFox...

在內建的規則中大多已經很夠用了，其中在 [DenyQueryStringSequences] 區段定義的 "<" 與 ">" 更是阻擋 XSS 的關鍵 ( XSS 大多都搭配著 "<"script">" 的標籤搭配在 QuerryString 之後，搭配 UnescapeQueryString 的參數將 Escape 後的參數還原即可得知)。那其他的特徵呢？例如 declare, drop, select… 等正常不應該出現在 QuerryString 的參數要阻擋的設定怎麼辦？

這是今天在網路上突然看到的，此漏洞是於 2008/12/09 號發佈
影響範圍可能很大，這個攻擊針對的系統如：

1.Windows XP, 2003
2.IE 7

而 IE7 於本週 12/09 的更新亦無法阻擋此次的零時差攻擊
Knownsec Team asdsadasd建議在此 Bug 修正前不要使用 IE 上網
建議改採用 Firefox 或其他的瀏覽器以策安全