資料庫設定不當 企業資料全都露
最近幾年隨著資訊產業的快速發展,資安議題也漸漸受到各界關注,外界一開始預估,2014年資安事件會比較少,但是許多大廠都爆出陳年的漏洞,而資安專家也歸納出2014年資安事件的成因。
戴夫寇爾(Devcore)資安研究員徐念恩表示,該公司漏洞測試歸納出2014年企業資安漏洞,可分為跨站腳本攻擊、資料庫注入攻擊、商業邏輯漏洞、跨站冒名請求與資訊洩漏等5大原因。
跨站腳本攻擊
跨站腳本攻擊相當大宗,占2014年所有攻擊漏洞的25.9%,超過七成(71%)受測的企業都遭受這樣的攻擊,徐念恩指出,這個漏洞肇因於開發者尚未過濾網頁表單的輸入值,直接將參數放在網頁中,讓攻擊者可以任意在輸入欄插入html元素。
企業如果遭受到這類攻擊,可以輕易的竊取一般用戶與管理者的帳號,也可以將網頁導向到別的網站,或者是竄改網頁的內容以及外觀。有心人士竊取一般使用者資料後,恐拿去進行不法行為,造成公司損失。
對此,徐念恩表示,企業應該從後端進行防禦,不要只在網頁的語法中,過濾使用者輸入的資訊,應該等所有的輸入數值都過濾好了,再輸入到資料庫進行動作,確保有心人士不能刻意鑽漏洞,讓系統受騙後進行竄改程式碼。
資料庫注入攻擊
而對資料庫進行注入的攻擊也相當常見,雖然在所有資安事件比率中,僅僅占比約15.1%,但是卻有超過半數(52%)的企業,都暴露在這類攻擊的風險之中。
徐念恩解釋,開發者使用字串組合的方式建立資料庫的語句,這樣讓攻擊者可以任意植入惡意資料庫(SQL)語法,攻擊過後可能造成企業的大量個資外洩,或是管理者的帳號、密碼外洩。
而使用者資料如果被竊取,因應現在《個資法》問題,可能造成企業巨大的損失。徐念恩解釋,目前《個資法》規定一筆個資500元,如果以網路商務廠商來說,會員資料少則數十萬筆,多則千萬筆,換算下來就是一筆天文數字。
商業邏輯漏洞
同樣是資料庫的漏洞,開發者如果沒有檢查使用者是否有權限,對特定資料進行查詢、修改、刪除,導致使用者可以任意操作資料庫的資料,這就是商業邏輯造成的漏洞。
如果一般使用者,可以任意竄改資料庫內容,徐念恩說,如果在售票網站,使用者就可以修改交易金額,甚至取得公司的訂單明細與個資,管理者的帳號也可能遭到竄改。
徐念恩指出,他們發現在有串接金流的企業中,有超過四成(42%)的企業,都有這樣的問題,都是因為開發者照金流提供的範本進行程式撰寫,也沒有驗證交易結果是否正確所導致。
這會造成什麼後果?徐念恩說,如果企業不知道有這樣的問題,造成沒有人進行人工對帳,會造成企業大量的金錢損失,如果企業知道而安排人力進行人工對帳,那會造成大量的人力成本負擔。
如果要解決這樣的漏洞,徐念恩建議,開發者需在程式碼中驗證金流回傳的最終交易金額是否正確,也要利用主機對主機(Server to Server)的方式傳遞參數,也可以在發送的參數中,加入一組驗證碼,讓金流商檢查接收到的參數是否正確。
跨站冒名請求
跨站冒名請求也相當常見,主要是因為開發者沒有檢查要求(request)是否為使用者本身發出的操作,導致攻擊者可以冒用一般使用者的身分執行特定操作,這會造成使用者可以自行下單購物、修改密碼等,造成使用者在不知名的情況下,執行特定動作。
資訊洩漏部分,當維修運作人員或開發者設定錯誤,導致系統機敏資料外洩於網站上,最常見到的就是網頁的原始碼洩漏帳號、密碼與後台目錄等,徐念恩舉例,他曾在網路購物後,收到一張出貨單,結果在那張單據最上方的網址,洩漏了後台的網址,這就相當危險。他指出,這樣的漏洞雖然不緊急,但若結合其他的弱點,就可能造成相當大的影響。
企業應增資安敏銳度
綜觀以上所有漏洞,徐念恩說,多半都是企業缺乏資安的敏銳度,以為沒有看到的東西就不會被攻擊,也沒有關注業界爆發出來的漏洞,也輕忽了弱點組合攻擊的威力。
除此之外,開發者也沒有讓企業的內網建立防禦機制,或是讓後台的資訊太過好猜,徐念恩舉例,也有業者曾經在後台取一個奇怪的名字,讓別人找不到,但是卻忽略Google的搜尋機器人,結果被Google找到,讓該後台可以在搜尋引擎搜尋到。
徐念恩說,其實要做好資安,最重要的還是要建立起資安觀念,必須要有「任何系統都會被攻擊」的心理準備,也不能忽視每個漏洞的影響力,漏洞測試跟健康檢查一樣,不是做過就好,需要定期做,也要配合定期的教育訓練等,才能從根本改善企業的資安。◇