網路資訊   >>  網路資訊
網管不嚴,國小部落格成援交版
撰文者:橙億科技 Nio

今天出現一則新聞「台南市七股區光復國小總務處部落格,一年來累計104頁,共上千則援交留言無人管」!根據蘋果日報報導 看不到連結請點這裡)消息最早可追朔到 2010年5月9日。

這樣的事件其實不是第一次, 常常逛網站的朋友應該不陌生,除了色情留言,打廣告的、賣東西的、抹黑、謾罵的都是常見的內容。這反應一件事,只要網站有留言系統,就免不了這樣的留言,通常我們稱之為「垃圾留言」。

因為垃圾留言多是漫遊機器人張貼,要阻擋垃圾留言目前最普遍的方式就是使用圖形數字,不過簡單的圖形數字擋不住進階留言機器人,所以現在的圖,複雜到連人都很難辨識出來,像是:




有網友就笑稱以後能正確辨識出來的才是機器人吧!


大部分的時候我們是討厭這種機制的,尤其當消費者輸入兩次都錯誤的時候那麼這筆訂單九成飛了。但又不能沒有防禦機制,因為這種留言除了打廣告之外,入侵資料庫、放木馬、取得網站管理者權限都有可能。

網站針對訪客留言處理流程大致應該要做到以下幾點:
  1. 避免非真人留言。
  2. 留言內容必須檢查不能干擾資料庫或使資料庫內容被盜取。
  3. 濾除對系統有害內容。
  4. 排除已知有害內容。
  5. 禁止輸入內容被瀏覽器執行。
  6. 防止網站管理者誤觸導致攻擊事件產生。
  7. 消除其他使用者觀看時可能發生的惡意攻擊。
一個完善的網站光是「訪客留言」這項功能就要做到以上幾項才算合格,要想知道自己目前使用的網站是否有最簡單的防禦機制,可以輸入以下內容看看:

<script>alert('Hello');</script>

如果可以輸入,並且在讀取時跳出警示對話,恭喜您中獎了,這樣的網站不用半年內容一定會被偷光。
要是不能輸入或是輸入後不能執行也不用太高興,因為這只是最基本的測試,黑客們並不使用這麼低等的攻擊方式。建議您聽到有什麼網站攻擊方式出現時,趕快測試一下自己的網站能不能阻擋,或者請專業人士定期維護會更放心一點。

橙億科技 Nio
橙億G+

橙億科技股份有限公司

11473 台北市內湖區江南街117巷8弄4號2  TEL:+886-2-2627-6067   FAX:+886-2-2627-6005