謝至恩今 (27) 晚間在社群網站陸續傳出總統府網頁遭駭的討論,並提供網站連結。細心的網友檢查連結時,可發現的確是總統府的官方網址沒錯,非 IE 使用者如 Firefox 、 Chrome 使用者點選該連結後,的確會看到總統府新聞稿網頁遭到置入,取而代之的是一段嵌入的 YouTube 惡搞影片。
乍看之下是真的遭駭,總統府新聞稿網頁遭到置換了。然而仔細看看網址,與正常網址的結構大不相同:
正常版:
http://www.president.gov.tw/php-bin/dore2+/list.php4?_section=3&_path=../prez
其實是駭客透過總統府網站設計機制的漏洞,以網址列的特殊指令,在使用者端的頁面上插入一段 iFrame,並嵌入一段 YouTube 的影片。
對總統府網站來說,其實毫無傷害,因為這些動作都只是發生在使用者端的電腦上,真正的總統府網頁其實並沒有改變。但從安全專家的眼裡看來,這代表總統府網站系統並沒有檢測網址參數的安全機制,甚至在 HTML 頁面的設計上也有缺陷,因此才會在網址列上顯示出真正的指令名稱。
另類的網站塗鴉
由於一般使用者便可以輕易改變所插入的影片內容,因此可說是一種另類的網站塗鴉,只要所插入的內容不會傷害使用者端電腦,倒不失為一種發洩情緒的管道。
改變影片內容的方法很簡單,可根據以下步驟便能輕易改變:
- 挑選某一段 YouTube 影片,並把該影片 ID 複製起來,如:
http://www.youtube.com/watch?v=YTSLrADR9Os,紅字部分便是影片 ID 。 - 更改「改造版」網址:
http://www.president.gov.tw/php-bin/dore2+/list.php4?issueDate=&issueYY=&issueMM=&issueDD=&title=%3E%22+%3Ciframe+src%3Dhttp://www.youtube.com/watch_popup%3Fv%3DTdFTeWHQ3CA%3E+%3Ci&content=&_section=3&_pieceLen=50&_orderBy=issueDate,rid&_desc=1
只要將原來的 TdFTeWHQ3CA 取代成 YTSLrADR9Os 就可以了。
如此一來,不需要侵入總統府網站,也能夠利用總統府網頁來播放自己的影片。當然這是遊走在法律邊緣的行為,並不鼓勵使用者為之。但可以看得出來總統府網站管理人員,缺乏網站安全的危機意識與作為。畢竟這次插入 iFrame 的內容是網頁,若遭到有心人士插入惡意內容,總統府網站豈非蒙受不白之冤。
即便這次事件對總統府網站沒有實體傷害,但也暴露出安全管理的缺失,更容易吸引駭客試圖以更高竿的技術入侵總統府網站,增加安全上的風險。至截稿為止,總統府網站並未修改該漏洞。
*2009 年 8 月 28 日 2:27am 更新:該頁面已經封鎖,禁止連線。隨後可正常存取,已修訂參數插入錯誤。
*2009 年 8 月 28 日 06:53pm 更新:再度爆出總統府網站其他頁面出現類似錯誤,使用者輸下列網址,便會跳出遭到刻意設計的詢問視窗。
顯示結果為:
