• 骇客入侵:网站的功能可能就是骇客攻击的弱点,揭露网站潜在威胁

    2019-02-02 11:02

    导读: 网站开发者在制作网站时,很可能只是基于便于维护等考量,无意留下了骇客可用来渗透的漏洞,在1月23日于富邦国际会议中心举办的自动化维运与资讯安全趋势研?#21482;?#20013;,诠睿科技资安顾问陈昱崇(Zero)特别以攻击者与网站开发者思维的差异,提醒企业必须重视网站

    网站开发者在制作网站时,很可能只是基于便于维护等考量,无意留下了骇客可用来渗透的漏洞,在1月23日于富邦国际会议中心举办的自动化维运与资讯安全趋势研?#21482;?#20013;,诠睿科技资安顾问陈昱崇(Zero)特别以攻击者与网站开发者思维的差异,提醒企业必须重视网站安全。

    陈昱崇指出,无论骇客攻击网站的目的为何,不论是为了牟利,还是窃取同业的商业机密,他们下手找出可以入侵网站的角度,往往来自于网站可能潜藏的弱点。他以电子?#20309;?#32593;站的功能为例,网站的会员功能,在骇客眼中是能够取得网站管理权限的途径,?#20309;?#36710;可能曝露网站的商业逻辑漏洞,至于搜寻功能,则有机会进行跨网站脚本攻击(XSS)。而针对?#21482;?#19978;网用户的行动版网页,也可能存在了行动装置App的弱点,或是API存取机制的问题等。陈昱崇说,这些极为常见、企业与使用者也视为理所当然的电子商务平台功能,在攻击者的观点看来,则是有机会找出下手弱点的地方。

     

    资料库注入漏洞仍是最频繁的攻击手段

    根据OWASP在2013年与2017年归纳的前10大网站攻击手法,陈昱崇指出,虽然2017年时多了XML外部实体注入(XML External Entity Injection,XXE)等新项目,但资料库的注入(SQL Injection )攻击手法在两次统计之中,都是位居榜首,因此,截至目前为止,这种攻击方式还是相当常见。

     

    不过,资料库注入攻击难道真的只能用来盗取企业网站的资?#19979;穡坑行?#20154;会想到,微软SQL Server 2008开始,预设将xp_cmdshell关闭,理论上网站搭配具备这种管制政策的资料库,应该安全性就可以得到?#32435;啤H欢?#38472;昱崇说,若是网站采用的是SA帐号存取资料库,或是骇客取得企业AD环境里的管理者权限,便可直接重新开启相关功能,从网站上的漏洞,注入像是中国?#35828;?#31561;一行指?#30591;?#23558;后门置入,将网站作为渗透企?#30340;?#37096;网路的跳板。

     

    陈昱崇?#36816;?#24037;作检测到客户的网站为例,该企业发现疑似个资外泄的情况,便怀疑客服系统出现异常,经陈昱崇检查之后,发?#21046;?#20013;部分栏位没有做到正规化,一旦攻击者注入指?#30591;?#23601;能得知该公司使用者的名单,甚至是内部网路路由的规画等等。陈昱崇说,骇客可将整个资料库复制出来,假若取得的权限够大,也能够植入各式的作案工具。

     

    跨网站脚本攻击可变相应用

    另一个相当常听到的网站攻击方式,是跨网站脚本攻击,就手法的原理而言,它主要是针对前端的使用者,让使用者看到骇客窜改后的内容,并非实际渗透到网站伺服器。陈昱崇举出总统府网站曾经遭到相关攻击的?#24405;?#25915;击者在网页加上了iFrame,使得使用者会在该网站上,看到前总?#38472;?#33521;九和执政团队跳韩国流行歌曲Sorry, Sorry的影片,就是采用这种手法。

     

    跨网站脚本攻击的应用,不只能窜改网页内容,攻击者也可以植入恶意软体,使得浏览者存取后,电脑就中毒。但陈昱崇说,骇客能运用的方式,?#23545;?#36229;过只是在网页上加料,例如,某个网站以使用者电脑上载入的JavaScript,过滤所填写个资的内容,骇客可利用额外架设的代理伺服器(Proxy),在封包送出之前,才做修改,便能绕过上述的检测机制,填写任意的内容,进而截取Cookie,用来对网站管理者发动网路钓鱼攻击,一旦成功,骇客就可能得以取得网站后台的管理权限。陈昱崇强调,这样的复合攻击手法,一般的网站弱点检测难以找出相关的漏洞。

     

    设计瑕疵也会变成企业网站疏于防范的弱点

    除了常见的攻击手法,陈昱崇认为,网站开发者基于日后维护?#32479;?#38169;等考量,可能因此留下了骇客可利用的管道,像是许多电商网站以使用者与行动电话号码绑定,做为用户?#24471;?#21046;的措施,这种做法中,使用者注册一个帐号之后,网站就以简讯寄送验证码,确认该行动电话是使用者所有。

     

    但是,有的网站开发者为了除错,竟将验证码留存在用户验证的网页程式码中,也认为不会有人会刻意去看网页的原始码,攻击者一旦留意到开发者保留的验证码,就能任意注册帐号,使得这个网站的用户?#24471;?#21270;形同虚设,进而滥用。

     

    此外,陈昱崇指出,开发者也可能相当倚赖各式的防护机制,例如SSL流?#32771;用埽?#20294;骇客也可能见?#32961;?#25307;,以上述的保护机制而言,攻击者很可能能够利用已经取得Root权限的Android?#21482;?#36827;而移除相关凭证,发动中间人攻击(MITM)。网站开发者很可能认为,使用者执行我所提供的App,与Web的互动性有所不同,功能受前端限制,而且后端处于隐匿状态,应该没有安全疑虑;?#27426;?#25915;击者则试图找出不需经过验证机制的API,以便窃取资料,甚?#20102;?#20204;发现,?#34892;?#20844;司的API能直接在Google上搜寻得到(Google Hacking)。

     

    ?#34892;?#20225;业为求方便,还会大开不必要网站的权限或是功能,使之成为对骇客友善的(Hacker Friendly)弱点,陈昱崇说,这就好像是网站开发者帮骇客开发了用来攻击自己的工具。

     

    保护必须依据网站进行妥善配置

    面对各式的网站威胁,企业可能会用网页应用程式防火墙(WAF),防范各式网路第7层的攻击,而基本上,这类防护机制能够保护网站各种?#38469;?#19978;的弱点,像是资料库注入等缺陷,甚至普遍能遮盖信用卡等机敏资料,减少资料外泄的风险。不过,陈昱崇说,WAF功能上的局限性,则是部分商业流程上的设计瑕疵,由于往往是设计给使用者的正常功能,难以借此防范。

     

    另外一个常见的现象,则是许多的IT人员部署了WAF之后,就可能以为高枕无忧,陈昱崇表示,事实上大多数的WAF设备,预设并未完全开启符合企业网站要求的功能,因此他认为,妥善的政策设定非常重要,这类设备才能真实发挥保护的能力。

    福建36选7开奖公告
  • 甘肃快三计划网页版 弓兵的小说 罗马与荣耀客服 nba雷霆vs热火 妹妹很饿注册 福彩快三计划网站 金龙珠宝是就是个骗局 白狮王官网 双色球中奖概率 西游记之孙悟空三打白骨精