骇客入侵:网站的功能可能就是骇客攻击的弱点,揭露网站潜在威胁
2019-02-02 11:02
网站开发者在制作网站时,很可能只是基于便于维护等考量,无意留下了骇客可用来渗透的漏洞,在1月23日于富邦国际会议中心举办的自动化维运与资讯安全趋势研讨会中,诠睿科技资安顾问陈昱崇(Zero)特别以攻击者与网站开发者思维的差异,提醒企业必须重视网站安全。
陈昱崇指出,无论骇客攻击网站的目的为何,不论是为了牟利,还是窃取同业的商业机密,他们下手找出可以入侵网站的角度,往往来自于网站可能潜藏的弱点。他以电子购物网站的功能为例,网站的会员功能,在骇客眼中是能够取得网站管理权限的途径,购物车可能曝露网站的商业逻辑漏洞,至于搜寻功能,则有机会进行跨网站脚本攻击(XSS)。而针对手机上网用户的行动版网页,也可能存在了行动装置App的弱点,或是API存取机制的问题等。陈昱崇说,这些极为常见、企业与使用者也视为理所当然的电子商务平台功能,在攻击者的观点看来,则是有机会找出下手弱点的地方。
资料库注入漏洞仍是最频繁的攻击手段
根据OWASP在2013年与2017年归纳的前10大网站攻击手法,陈昱崇指出,虽然2017年时多了XML外部实体注入(XML External Entity Injection,XXE)等新项目,但资料库的注入(SQL Injection )攻击手法在两次统计之中,都是位居榜首,因此,截至目前为止,这种攻击方式还是相当常见。
不过,资料库注入攻击难道真的只能用来盗取企业网站的资料吗?有些人会想到,微软SQL Server 2008开始,预设将xp_cmdshell关闭,理论上网站搭配具备这种管制政策的资料库,应该安全性就可以得到改善。然而,陈昱崇说,若是网站采用的是SA帐号存取资料库,或是骇客取得企业AD环境里的管理者权限,便可直接重新开启相关功能,从网站上的漏洞,注入像是中国菜刀等一行指令,将后门置入,将网站作为渗透企业内部网路的跳板。
陈昱崇以他工作检测到客户的网站为例,该企业发现疑似个资外泄的情况,便怀疑客服系统出现异常,经陈昱崇检查之后,发现其中部分栏位没有做到正规化,一旦攻击者注入指令,就能得知该公司使用者的名单,甚至是内部网路路由的规画等等。陈昱崇说,骇客可将整个资料库复制出来,假若取得的权限够大,也能够植入各式的作案工具。
跨网站脚本攻击可变相应用
另一个相当常听到的网站攻击方式,是跨网站脚本攻击,就手法的原理而言,它主要是针对前端的使用者,让使用者看到骇客窜改后的内容,并非实际渗透到网站伺服器。陈昱崇举出总统府网站曾经遭到相关攻击的事件,攻击者在网页加上了iFrame,使得使用者会在该网站上,看到前总统马英九和执政团队跳韩国流行歌曲Sorry, Sorry的影片,就是采用这种手法。
跨网站脚本攻击的应用,不只能窜改网页内容,攻击者也可以植入恶意软体,使得浏览者存取后,电脑就中毒。但陈昱崇说,骇客能运用的方式,远远超过只是在网页上加料,例如,某个网站以使用者电脑上载入的JavaScript,过滤所填写个资的内容,骇客可利用额外架设的代理伺服器(Proxy),在封包送出之前,才做修改,便能绕过上述的检测机制,填写任意的内容,进而截取Cookie,用来对网站管理者发动网路钓鱼攻击,一旦成功,骇客就可能得以取得网站后台的管理权限。陈昱崇强调,这样的复合攻击手法,一般的网站弱点检测难以找出相关的漏洞。
设计瑕疵也会变成企业网站疏于防范的弱点
除了常见的攻击手法,陈昱崇认为,网站开发者基于日后维护和除错等考量,可能因此留下了骇客可利用的管道,像是许多电商网站以使用者与行动电话号码绑定,做为用户实名制的措施,这种做法中,使用者注册一个帐号之后,网站就以简讯寄送验证码,确认该行动电话是使用者所有。
但是,有的网站开发者为了除错,竟将验证码留存在用户验证的网页程式码中,也认为不会有人会刻意去看网页的原始码,攻击者一旦留意到开发者保留的验证码,就能任意注册帐号,使得这个网站的用户实名化形同虚设,进而滥用。
此外,陈昱崇指出,开发者也可能相当倚赖各式的防护机制,例如SSL流量加密,但骇客也可能见招拆招,以上述的保护机制而言,攻击者很可能能够利用已经取得Root权限的Android手机,进而移除相关凭证,发动中间人攻击(MITM)。网站开发者很可能认为,使用者执行我所提供的App,与Web的互动性有所不同,功能受前端限制,而且后端处于隐匿状态,应该没有安全疑虑;然而攻击者则试图找出不需经过验证机制的API,以便窃取资料,甚至他们发现,有些公司的API能直接在Google上搜寻得到(Google Hacking)。
有些企业为求方便,还会大开不必要网站的权限或是功能,使之成为对骇客友善的(Hacker Friendly)弱点,陈昱崇说,这就好像是网站开发者帮骇客开发了用来攻击自己的工具。
保护必须依据网站进行妥善配置
面对各式的网站威胁,企业可能会用网页应用程式防火墙(WAF),防范各式网路第7层的攻击,而基本上,这类防护机制能够保护网站各种技术上的弱点,像是资料库注入等缺陷,甚至普遍能遮盖信用卡等机敏资料,减少资料外泄的风险。不过,陈昱崇说,WAF功能上的局限性,则是部分商业流程上的设计瑕疵,由于往往是设计给使用者的正常功能,难以借此防范。
另外一个常见的现象,则是许多的IT人员部署了WAF之后,就可能以为高枕无忧,陈昱崇表示,事实上大多数的WAF设备,预设并未完全开启符合企业网站要求的功能,因此他认为,妥善的政策设定非常重要,这类设备才能真实发挥保护的能力。
相关文章
- 鐜嬪仴鏋楄瀹跺嵃娓歌墖鏇濆厜 缃戝弸锛氳繖娆$湡鏄传绌烽檺鍒朵簡鎴戜滑鐨勬兂鍍忓姏
2018-04-16 16:32
- 涓夊搴﹀叏鐞冨彲绌挎埓璁惧鍑鸿揣閲忎笂娑94.6%锛岃嫻鏋滅ǔ鈥
2019-12-10 17:52
- Samsung鏂颁笓鍒╂洕鍏夊叏闈㈠睆娌℃湁鍒樻捣
2018-05-13 13:33
- 鍏ㄥ箙楂橀熻繛鎷岰anon1DX鍗曟満鍞28800鍏
2018-04-09 17:32
- 鍗庝负Mate X棰勮渚涜揣20涓囧彴宸﹀彸
2019-06-30 15:50
- 杞婚噺绾у叆闂ㄦ満锛欶ujifilmX-M1鏃犲弽鐧诲満
2018-01-03 12:00
- 闂厜鐏珶鏈夎繖涔堝鑺辨牱榄呰摑E2璇勬祴
2018-05-29 19:33
- 涓寰幆缁忔祹鐮旂┒闄㈠湪娌у窞鎴愮珛
2020-12-28 16:52
- 2018鏄ヨ妭绗竴鏂版満 榄呰摑E3鑳岄潰璁捐鎹夌溂
2019-02-19 05:37
- iPhone6Plus鎼滀笉鍒癢iFi 鎵嬫満搴楁病淇ソ 澶х鎬濊矾娓呮櫚涓鎷涙悶瀹
2018-05-02 14:31
- 闃块噷YunOS鍗冲皢鍒版潵 鐩墠宸叉湁鍥戒骇鎵嬫満鏀寔 鏈熷緟鍚楋紵
2018-04-29 20:31
- 闇稿睆浜嗭紒闂嵎缃戝叓鍛ㄥ勾鎰熸仼鍥為娲诲姩鐏儹杩涜涓紒
2021-07-22 19:46
- 360鎽勫儚鏈3C浜戝彴鐢垫睜鐗堝紑鍚鍞 鍒涙柊鈥滀笉鎻掔數鈥
2021-03-20 09:54
- 澶栧獟鎶ラ亾锛歀G姝g爺鍙戞柊娆剧炕鐩栧紡鍙姌鍙犳墜鏈
2018-07-06 05:31
- 鎵庡厠浼牸澶绾︿細缁欏瀛愯█浼犺韩鏁 鎵庡厠浼牸瀹堕娆℃洕鍏
2019-12-05 18:53
- 5799鍏冭捣 涓夋槦GalaxyS9/S9锛嬪媰鑹绾㈢増鍙戝竷 涓夊ぇ濂崇浠h█
2018-05-08 17:32
- 鍗板害閫爄Phone缁堜簬涓婂競 浣嗘灉绮変緷鏃у緢澶辨湜
2018-09-22 00:32
- 鏇寸敓琛岃柂閰珽TC锛氭櫤鑳借柂閰競鍦虹殑棰嗚窇鑰
2019-08-20 11:55
- 榄斿吔浜夐湼锛氬畧鍩庡叧鍗$殑璁惧畾鍗佸垎缁忓吀 閭d箞鎴樺焦涓渶缁忓吀鐨勬槸鍝叧锛焈甯屽皵鐡﹀鏂
2019-06-30 14:46
- 鑴戞礊椋樺嚭澶╅檯鐨勭鐮旈槦浼嶅紑鍙戝嚭3D鎵撳嵃姘磋川妫娴嬪櫒
2018-08-05 18:31