: ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 61.229.58.175 : 推 springman:文中所說的惡意程式「淪陷排行榜」不知公佈在哪裡？ 04/23 14:25 : → springman:想看看我常用的網站有沒有上榜 04/23 14:25 : 推 npr:http://rogerspeaking.com/2007/01/32 04/23 14:30 : 推 springman:謝謝，但這是 2007 年初的文章，好像與此報導中的不一樣 04/23 14:35 : 推 npr:http://www.itis.tw/compromised 資安之眼排行榜 04/23 14:47 : 推 springman:謝謝、這個應該就是了，看來還真的有點可怕。 04/23 15:13 : 推 cilovemi:真的很可怕....... 04/23 16:15 : 推 springman:突然間想到，大家應該多查查自己常用的網站有沒有上榜 04/23 16:23 XD : → springman:若有的話，就提醒網站管理者修正，共同讓網路更安全 04/23 16:23 XD 2 很多時候不是提醒與否的問題，很多情況是管理者也自知有問題， 但是沒處置或無能為力。 1. 心態問題 這兩天的消息... 美國尖端科技F-35資料遭中共竊取 http://www.ithome.com.tw/itadm/article.php?c=54627 全亞洲有哪個公司投入在資安維護上的資金比美國空軍高的？ 更何況資安在台灣一直一直都是不被關注的一塊， 你叫老闆沒事一年花個 己百萬 去作資安維護？！不可能阿！！ 所以都是倒楣的 MIS 身兼資安維護的工作， 那真的是幹在心裡口難開。又怎麼能夠期待有好成效？ 2. 家醜不外揚 碰到資安問題，大部分的單位回答方式不外乎： 『謝謝指教，我們一切依照規定處理』 『漏洞已經修補，未造成資料外流』 『因為 oo xx ，所以只有少部份不重要資料受到損壞』 全台最大暴力集團的制式回答： 『我們使用實體隔離，資料無外洩可能』 只能說大部分的人認為資安事件是可恥的！是骯髒的！！ 所以選擇遮遮掩掩打混矇混過去，反正網友是健忘的， ptt發生過資安事件、hinet發生過、tw.yahoo發生過， 有哪家正式發表過聲明？ rogerspeaking 也說，當他公佈一個最新漏洞之後， 常常受到網站管理人的責難，因為公佈漏洞讓網站"丟臉"， 害MIS被罵，所以指責 rogerspeaking 『怎麼可以隨便公佈網站木馬！！』 『大砲開講謠言惑眾！！！』『抵制rogerspeaking到底！！！』 ........ MIS寧願漏洞資訊不公開，也不願意積極修補漏洞。 3. 問題真的不好修 也是最近的消息 漏洞修補不完，Twitter 蠕蟲五度發威： 詳探 Mikeyy (StalkDaily) 蠕蟲一代至五代細節 http://armorize-cht.blogspot.com/2009/04/twitter-mikeyy-stalkdaily.html 你可以想像你家門壞了，被小偷連闖五次嗎？ Twitter 與 Mikeyy蠕蟲 的 競賽已經到了匪夷所思的地步， 到後期，Mikeyy幾乎已經是挑名了說：twitter你家有漏洞，我要炸翻你家。 twitter 也知道問題，可是還是修不好，之後陸續又被搞翻了幾次。 小美家都沒被炸得這麼慘。 twitter 絕對不是特例，只是倒楣碰上比較執著的cracker， 試問，其他小網站呢？ 4. 上榜？ 如何知道網站是不是中鏢了？ 靠第三方觀察者？ 靠掃毒軟體？ 市面上那家掃毒軟體可以掃描網站病毒？有一些... 有哪些可以針對ajax掃描？有哪些可以針對 js 行為進行研判？ 我說的不是 plaintext 的 pattern ，而是針對有 xss 行為的 js 進行研判 有沒有這種掃毒軟體？ : 推 cilovemi:一堆旅遊網有木馬....還真不少....... 04/23 16:25 : 推 npr:看大砲開講應該知道 很多網站提醒了還是沒做修正 04/23 16:26 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.124.214.169