骇客入侵:网站的功能可能就是骇客攻击的弱点,揭露网站潜在威胁

2019-02-02 11:02

导读: 网站开发者在制作网站时,很可能只是基于便于维护等考量,无意留下了骇客可用来渗透的漏洞,在1月23日于富邦国际会议中心举办的自动化维运与资讯安全趋势研讨会中,诠睿科技资安顾问陈昱崇(Zero)特别以攻击者与网站开发者思维的差异,提醒企业必须重视网站

网站开发者在制作网站时,很可能只是基于便于维护等考量,无意留下了骇客可用来渗透的漏洞,在1月23日于富邦国际会议中心举办的自动化维运与资讯安全趋势研讨会中,诠睿科技资安顾问陈昱崇(Zero)特别以攻击者与网站开发者思维的差异,提醒企业必须重视网站安全。

陈昱崇指出,无论骇客攻击网站的目的为何,不论是为了牟利,还是窃取同业的商业机密,他们下手找出可以入侵网站的角度,往往来自于网站可能潜藏的弱点。他以电子购物网站的功能为例,网站的会员功能,在骇客眼中是能够取得网站管理权限的途径,购物车可能曝露网站的商业逻辑漏洞,至于搜寻功能,则有机会进行跨网站脚本攻击(XSS)。而针对手机上网用户的行动版网页,也可能存在了行动装置App的弱点,或是API存取机制的问题等。陈昱崇说,这些极为常见、企业与使用者也视为理所当然的电子商务平台功能,在攻击者的观点看来,则是有机会找出下手弱点的地方。

 

资料库注入漏洞仍是最频繁的攻击手段

根据OWASP在2013年与2017年归纳的前10大网站攻击手法,陈昱崇指出,虽然2017年时多了XML外部实体注入(XML External Entity Injection,XXE)等新项目,但资料库的注入(SQL Injection )攻击手法在两次统计之中,都是位居榜首,因此,截至目前为止,这种攻击方式还是相当常见。

 

不过,资料库注入攻击难道真的只能用来盗取企业网站的资料吗?有些人会想到,微软SQL Server 2008开始,预设将xp_cmdshell关闭,理论上网站搭配具备这种管制政策的资料库,应该安全性就可以得到改善。然而,陈昱崇说,若是网站采用的是SA帐号存取资料库,或是骇客取得企业AD环境里的管理者权限,便可直接重新开启相关功能,从网站上的漏洞,注入像是中国菜刀等一行指令,将后门置入,将网站作为渗透企业内部网路的跳板。

 

陈昱崇以他工作检测到客户的网站为例,该企业发现疑似个资外泄的情况,便怀疑客服系统出现异常,经陈昱崇检查之后,发现其中部分栏位没有做到正规化,一旦攻击者注入指令,就能得知该公司使用者的名单,甚至是内部网路路由的规画等等。陈昱崇说,骇客可将整个资料库复制出来,假若取得的权限够大,也能够植入各式的作案工具。

 

跨网站脚本攻击可变相应用

另一个相当常听到的网站攻击方式,是跨网站脚本攻击,就手法的原理而言,它主要是针对前端的使用者,让使用者看到骇客窜改后的内容,并非实际渗透到网站伺服器。陈昱崇举出总统府网站曾经遭到相关攻击的事件,攻击者在网页加上了iFrame,使得使用者会在该网站上,看到前总统马英九和执政团队跳韩国流行歌曲Sorry, Sorry的影片,就是采用这种手法。

 

跨网站脚本攻击的应用,不只能窜改网页内容,攻击者也可以植入恶意软体,使得浏览者存取后,电脑就中毒。但陈昱崇说,骇客能运用的方式,远远超过只是在网页上加料,例如,某个网站以使用者电脑上载入的JavaScript,过滤所填写个资的内容,骇客可利用额外架设的代理伺服器(Proxy),在封包送出之前,才做修改,便能绕过上述的检测机制,填写任意的内容,进而截取Cookie,用来对网站管理者发动网路钓鱼攻击,一旦成功,骇客就可能得以取得网站后台的管理权限。陈昱崇强调,这样的复合攻击手法,一般的网站弱点检测难以找出相关的漏洞。

 

设计瑕疵也会变成企业网站疏于防范的弱点

除了常见的攻击手法,陈昱崇认为,网站开发者基于日后维护和除错等考量,可能因此留下了骇客可利用的管道,像是许多电商网站以使用者与行动电话号码绑定,做为用户实名制的措施,这种做法中,使用者注册一个帐号之后,网站就以简讯寄送验证码,确认该行动电话是使用者所有。

 

但是,有的网站开发者为了除错,竟将验证码留存在用户验证的网页程式码中,也认为不会有人会刻意去看网页的原始码,攻击者一旦留意到开发者保留的验证码,就能任意注册帐号,使得这个网站的用户实名化形同虚设,进而滥用。

 

此外,陈昱崇指出,开发者也可能相当倚赖各式的防护机制,例如SSL流量加密,但骇客也可能见招拆招,以上述的保护机制而言,攻击者很可能能够利用已经取得Root权限的Android手机,进而移除相关凭证,发动中间人攻击(MITM)。网站开发者很可能认为,使用者执行我所提供的App,与Web的互动性有所不同,功能受前端限制,而且后端处于隐匿状态,应该没有安全疑虑;然而攻击者则试图找出不需经过验证机制的API,以便窃取资料,甚至他们发现,有些公司的API能直接在Google上搜寻得到(Google Hacking)。

 

有些企业为求方便,还会大开不必要网站的权限或是功能,使之成为对骇客友善的(Hacker Friendly)弱点,陈昱崇说,这就好像是网站开发者帮骇客开发了用来攻击自己的工具。

 

保护必须依据网站进行妥善配置

面对各式的网站威胁,企业可能会用网页应用程式防火墙(WAF),防范各式网路第7层的攻击,而基本上,这类防护机制能够保护网站各种技术上的弱点,像是资料库注入等缺陷,甚至普遍能遮盖信用卡等机敏资料,减少资料外泄的风险。不过,陈昱崇说,WAF功能上的局限性,则是部分商业流程上的设计瑕疵,由于往往是设计给使用者的正常功能,难以借此防范。

 

另外一个常见的现象,则是许多的IT人员部署了WAF之后,就可能以为高枕无忧,陈昱崇表示,事实上大多数的WAF设备,预设并未完全开启符合企业网站要求的功能,因此他认为,妥善的政策设定非常重要,这类设备才能真实发挥保护的能力。