補缺日誌

駭客藉著網頁或是電子郵件所做的攻擊，大致包含下列種類：

1、命令植入攻擊(command injection)

2、eval植入攻擊(eval injection)

3、用戶端指令碼植入攻擊(script insertion)

4、跨網站指令碼攻擊(Cross-Site Scripting)

5、SQL植入攻擊(SQL injection,俗稱資料隱碼)

6、跨網站請求偽造攻擊(cross site request forgeries,CSRF)

7、Session挾持攻擊(session hijacking)

8、Session固定攻擊(session fixation)

9、HTTP回應分割攻擊(HTTP response splitting)

10、檔案上傳攻擊(file upload attack)

11、目錄遊走攻擊(directory traversal)

12、遠端檔案引入攻擊(remote inclusion)

13、變數指定攻擊(dynamic variable evaluation)

14、URL攻擊(URL attack)

15、表單欺騙攻擊(spoofed form submissions)

16、HTTP請求欺騙攻擊(spoofed HTTP requests)

名詞解釋：

1.何謂「跨站式網頁攻擊XSS」？

跨網頁攻擊（Cross-Site Scripting）又被簡稱為XSS，

中文譯名則為跨網頁攻擊或是跨網站攻擊。最原始的HTML

網頁，所有的HTML都是為靜態網頁，也就是說每一個網頁

幾乎都有一個固定的URL相對應，所以相對來說，靜態網頁

並不適合被用於資料庫的存取應用，因而進一步衍生發展成

為現在被廣泛應用的動態網頁技術。相較於靜態網頁只是單

純的顯示網頁內容，動態網頁可以讓網頁顯示動態的資訊，

現在已被大部分的網站廣泛利用，例如網站購物、即時新聞

等。跨網頁攻擊是利用動態網頁的特性、網頁中的程式錯誤

，以及利用開發者沒有嚴格限制回傳參數及過濾輸入之特殊

字元，將具攻擊性的JavaScript、VB Script、ActiveX

，或FLASH程式碼置入而所進行的攻擊。

XSS筆記：

http://william.cswiz.org/blog/archives/2006-11-21/xss-memo/

2.何謂「Cookie」欺騙？

Cookie是有分兩種，一種是存於用戶端的檔案之中，有一

定期限會過期，過期的期限由伺服端來決定；第二種為只有

在客戶端及伺服端所使用的Session關閉瀏覽器就立刻消失

，這兩種都是http的cookie header。Cookie存於檔案中

可能有使用者資料，而Session是客戶端端入到伺服端的狀

態。而「Cookie欺騙」乃指利用擷取到的Cookie來冒用使

用者登入的狀態。

3.何謂「SQL資訊隱碼」？

「SQL資訊隱碼」指利用網頁程式的參數值過濾不完全，將

值以及SQL語句帶入到資料庫執行。