网站开发者在制作网站时，很可能只是基于便于维护等考量，无意留下了骇客可用来渗透的漏洞，在1月23日于富邦国际会议中心举办的自动化维运与资讯安全趋势研讨会中，诠睿科技资安顾问陈昱崇（Zero）特别以攻击者与网站开发者思维的差异，提醒企业必须重视网站安全。

陈昱崇指出，无论骇客攻击网站的目的为何，不论是为了牟利，还是窃取同业的商业机密，他们下手找出可以入侵网站的角度，往往来自于网站可能潜藏的弱点。他以电子购物网站的功能为例，网站的会员功能，在骇客眼中是能够取得网站管理权限的途径，购物车可能曝露网站的商业逻辑漏洞，至于搜寻功能，则有机会进行跨网站脚本攻击（XSS）。而针对手机上网用户的行动版网页，也可能存在了行动装置App的弱点，或是API存取机制的问题等。陈昱崇说，这些极为常见、企业与使用者也视为理所当然的电子商务平台功能，在攻击者的观点看来，则是有机会找出下手弱点的地方。

资料库注入漏洞仍是最频繁的攻击手段

根据OWASP在2013年与2017年归纳的前10大网站攻击手法，陈昱崇指出，虽然2017年时多了XML外部实体注入（XML External Entity Injection，XXE）等新项目，但资料库的注入（SQL Injection ）攻击手法在两次统计之中，都是位居榜首，因此，截至目前为止，这种攻击方式还是相当常见。

不过，资料库注入攻击难道真的只能用来盗取企业网站的资料吗？有些人会想到，微软SQL Server 2008开始，预设将xp_cmdshell关闭，理论上网站搭配具备这种管制政策的资料库，应该安全性就可以得到改善。然而，陈昱崇说，若是网站采用的是SA帐号存取资料库，或是骇客取得企业AD环境里的管理者权限，便可直接重新开启相关功能，从网站上的漏洞，注入像是中国菜刀等一行指令，将后门置入，将网站作为渗透企业内部网路的跳板。

陈昱崇以他工作检测到客户的网站为例，该企业发现疑似个资外泄的情况，便怀疑客服系统出现异常，经陈昱崇检查之后，发现其中部分栏位没有做到正规化，一旦攻击者注入指令，就能得知该公司使用者的名单，甚至是内部网路路由的规画等等。陈昱崇说，骇客可将整个资料库复制出来，假若取得的权限够大，也能够植入各式的作案工具。

跨网站脚本攻击可变相应用

另一个相当常听到的网站攻击方式，是跨网站脚本攻击，就手法的原理而言，它主要是针对前端的使用者，让使用者看到骇客窜改后的内容，并非实际渗透到网站伺服器。陈昱崇举出总统府网站曾经遭到相关攻击的事件，攻击者在网页加上了iFrame，使得使用者会在该网站上，看到前总统马英九和执政团队跳韩国流行歌曲Sorry, Sorry的影片，就是采用这种手法。

跨网站脚本攻击的应用，不只能窜改网页内容，攻击者也可以植入恶意软体，使得浏览者存取后，电脑就中毒。但陈昱崇说，骇客能运用的方式，远远超过只是在网页上加料，例如，某个网站以使用者电脑上载入的JavaScript，过滤所填写个资的内容，骇客可利用额外架设的代理伺服器（Proxy），在封包送出之前，才做修改，便能绕过上述的检测机制，填写任意的内容，进而截取Cookie，用来对网站管理者发动网路钓鱼攻击，一旦成功，骇客就可能得以取得网站后台的管理权限。陈昱崇强调，这样的复合攻击手法，一般的网站弱点检测难以找出相关的漏洞。

设计瑕疵也会变成企业网站疏于防范的弱点

除了常见的攻击手法，陈昱崇认为，网站开发者基于日后维护和除错等考量，可能因此留下了骇客可利用的管道，像是许多电商网站以使用者与行动电话号码绑定，做为用户实名制的措施，这种做法中，使用者注册一个帐号之后，网站就以简讯寄送验证码，确认该行动电话是使用者所有。

但是，有的网站开发者为了除错，竟将验证码留存在用户验证的网页程式码中，也认为不会有人会刻意去看网页的原始码，攻击者一旦留意到开发者保留的验证码，就能任意注册帐号，使得这个网站的用户实名化形同虚设，进而滥用。

此外，陈昱崇指出，开发者也可能相当倚赖各式的防护机制，例如SSL流量加密，但骇客也可能见招拆招，以上述的保护机制而言，攻击者很可能能够利用已经取得Root权限的Android手机，进而移除相关凭证，发动中间人攻击（MITM）。网站开发者很可能认为，使用者执行我所提供的App，与Web的互动性有所不同，功能受前端限制，而且后端处于隐匿状态，应该没有安全疑虑；然而攻击者则试图找出不需经过验证机制的API，以便窃取资料，甚至他们发现，有些公司的API能直接在Google上搜寻得到（Google Hacking）。

有些企业为求方便，还会大开不必要网站的权限或是功能，使之成为对骇客友善的（Hacker Friendly）弱点，陈昱崇说，这就好像是网站开发者帮骇客开发了用来攻击自己的工具。

保护必须依据网站进行妥善配置

面对各式的网站威胁，企业可能会用网页应用程式防火墙（WAF），防范各式网路第7层的攻击，而基本上，这类防护机制能够保护网站各种技术上的弱点，像是资料库注入等缺陷，甚至普遍能遮盖信用卡等机敏资料，减少资料外泄的风险。不过，陈昱崇说，WAF功能上的局限性，则是部分商业流程上的设计瑕疵，由于往往是设计给使用者的正常功能，难以借此防范。

另外一个常见的现象，则是许多的IT人员部署了WAF之后，就可能以为高枕无忧，陈昱崇表示，事实上大多数的WAF设备，预设并未完全开启符合企业网站要求的功能，因此他认为，妥善的政策设定非常重要，这类设备才能真实发挥保护的能力。