Web 2.0融合Web Services、RIA、SOAP、JavaScript、XML等技术，强调高度互动与多人协同创作等概念，又大规模地带动新的网页形态产生。架构复杂，而且技术之间互相援引，关连性很强。

Web 2.0 Hacking

Web 2.0 兴起，所衍生的入侵行为与恶意程序程序代码

恶意程序代码从病毒、蠕虫、间谍程序至网页挂马，再加上架设伪冒网站企图诈骗账号、密码与网络银行信息的网络钓鱼，也许我们都以为，可以用既有的防毒、IPS、网页过滤方式去控制。然而，Web 2.0融合Web Services、RIA、SOAP、JavaScript、XML等技术，强调高度互动与多人协同创作等概念，又大规模地带动新的网页形态产生。架构复杂，而且技术之间互相援引，关连性很强。

在当前的网页环境中，威胁的面貌、破坏性与目的也不像过去硬走偏锋，却也越来越难以辨识，例如有些蠕虫擅自更改使用者在网站的个人数据，目的只是为了在MySpace上面结交更多网友，而有的则设法潜入、复制到许多Yahoo使用者的网页电子邮件通讯簿中。个人端在执行各网站上的JavaScript也变得很危险，例如在个人端计算机的浏览器偷偷执行恶意VBScript、JavaScript。

此外，数据来源的可信度无法持续验证、RSS Feeds也可能遭到窜改，因为使用者账号逐渐走向单一登入的关系，账号有效性与登入状态的操弄也成为许多入侵者的目标，一些桌面小工具或组件，使用上也有不够安全的问题。

有人说，Web 2.0只是把攻击行为换了新的载具而已，不过也有人提醒，攻击对象和漏洞发生的地方已不再是应用伺服饱A个人端也难以幸免；而且XSS攻击依然猖獗，CSRF攻击更是防不胜防，使得安全控管与验证可能会被略过、无法发挥作用。文⊙李宗翰

Cross-Site Scripting，XSS

跨站指令码攻击、跨网站脚本攻击

是指Web应用程序没有好好管制使用者，防止恶意程序代码「注入」网页。例如未妥善过滤特殊字符，或未适当转换浏览者输入的字符，加上由浏览器本身所致。

一旦攻击者有办法利用该网站的跨站指令码漏洞，就可以绕过原有的存取控制。这种漏洞的主因是能直接将使用者本身发出的执行请求，回送至原来的浏览器执行，使得攻击者可趁机撷取使用者的Cookie或Session数据。

Malicious File Execution

恶意档案执行

Web应用程序将外部的恶意档案引入，同时趁机执行档案的内容。简单地说，有人先将恶意程序代码或恶意网页的连结植入网页，让浏览该页面的使用者遭受攻击，这台电脑可能因此成为傀儡，帮入侵者收集账号、密码。

因为有些网页程序在执行时，允许从远程夹带其它档案，使得攻击者可以借机夹藏恶意的程序代码与数据，造成破坏。整台服务器很可能因此受损。

Backdooring Media Files

成为后门程序的多媒体文件

利用特定多媒体档案的指令码执行能力，引发安全性漏洞，例如Flash、QuickTime、PDF檔。不过最近后门程序针对的目标更多了，例如已经有人针对MP3这个格式实作出概念验证性的程序代码。

例如，QuickTime player 3.×版到7.×版一直都存在的不安全功能──Text Tracks中的HREF Tracks，它可用来开启FTP、HTTP、HTTPS的网址，并且支持JavaScript协议。

Cross-Site Request Forgery，CSRF

跨站冒名请求

与XSS漏洞类似，容易搞混。XSS是指攻击者在未经授权的情况下擅自注入到网站上，而前者只从使用者信任的网站上，利用他们对于网站的授权，单纯发送不合法的程序代码，让入侵者得以执行不被许可的指令和动作，例如提升权限或将某些规则写入系统的个人设定，而不需要依赖任何个人端的指令执行环境。由于恶意程序代码夹带在电子邮件或网站内，不论是直接进行或利世@@@@SS漏洞，在执行时，使用者根本无从判断。

Drive-by Downloads

自动从网络下载档案

是指使用者不知情的状况下，在系统背景自动下载、安装与执行特定的档案。通常是指间谍程序、病毒或恶意程序采用的某种传播方式。可能发生的时机在平常浏览网站、检视电子邮件或点选弹跳窗口，但也可能因为有人从远程网络渗透进来，企图利用对方计算机的浏览器、邮件收发信软件或操作系统的漏洞或弱点，在使用者没发觉时，就命令它们从网络下载了恶意程序，例如Windows Metafile的漏洞就足以引发这类行为。

JavaScript malware

JavaScript恶意软件

JavaScript如果被恶意程序代码滥用，将是一种很可怕的现象，它将是一种可以在防火墙内攻击内部网络个人端的方式，而且不论是那种操作系统或浏览器，几乎都有执行JavaScript的能力，因此这种攻击方式将不会受限在特定平台。JavaScript可以制造连结，而且能存取串接样式表的API。有些恶意JavaScript也可以用特定的函式让个人端下载其它恶意程序代码到浏览器上，例如ADODB.Stream或setSlice()。

SQL Injection/Command Injection

SQL注入／指令注入

由于网站应用程序需连结数据库，进而获取数据，透过这种手法，入侵者可以取得部署恶意程序的权限。

当使用者输入特定的跳脱字符，使得在应用程序查询数据库时，将这些字符串在过滤的情况下，嵌在SQL叙述；或者是使用者输入了没有指定数据型别的字符串，导致系统产生管理者未预料到的执行结果。这问题很常发生，不论何时、程序语言类型或嵌入式的指令码执行环境，都有可能。

RSS/Atom Feeds Injection

RSS／Atom Feeds注入

RSS和Atom已成为许多使用者获取网站动态的管道，但这种方式有可能因为联机方式而产生安全性的问题。例如1995年Yahoo就被发现Feeds搜集程序（RSS Aggregator）接口中有弱点；另一个是AOL ICQ Toolbar，该应用程序预设的网页，在加载内容前并未验证页面本身，也无法顺利验证feed的标题和叙述字段。一旦使用者在这样的环境下浏览恶意网站时，这些计算机可以执行各种HTML语法、指令码，不受管制。

XML Port Scanning

XML网络端口扫描

是一种即使在防火墙内也能使用的入侵技术，也就是说，攻击者利世@@@@ML解析器（parser）去执行网络端口扫描，它需要特定的实作方式才能自远程利用该漏洞。

它主要是利世@@@@ML的DTD（Document Type Definition）组件，从解析器中去启动传统的网络端口扫描；这个XML文件如果允许内部的元素能够动态定义，就可以建立出外部实体的参考，以便对应出各系统的网络端口。

看不懂