新聞消息為什麼網址旁會出現「不安全」? 關於網站架設不可忽視的十大網頁安全漏洞
次閱讀
在開發一個網頁時,要判斷這個網頁的好壞不僅是網頁設計的技巧、視覺的呈現或是使用者介面的設計
有一個常常被忽視的主題,決定了網頁存亡的細節-資訊安全。
工程師在開發網頁時,架構上是否有被攻擊的弱點、或是會被鑽漏洞的地方,有時可能會無意中將其忽略
這時有心人士就會藉由這項漏洞,侵入網頁,而越是有影響力的公司企業、網站,對於資訊安全的重視刻不容緩
可能包含了許多客戶資料、隱私資訊甚至牽扯到金錢。
這邊整理出常見的攻擊手法,根據OWASP(Open Web Application Security Project) 一個收集各種網頁安全漏洞的指標性機構統計
目前最新的十大網頁安全漏洞,在這邊,我將會一一做簡短的白話文解釋
1/Injection
SQL Injection,排名第一的攻擊手法,因為相對其他手法簡單許多,甚至也可以交由自動化去攻擊
若是入侵網頁,他可能會竄改、竊取客戶資料,光是得到這筆龐大的資料,有心人士就有辦法從中牟利了。
也會因此傷害公司企業的形象,就如同FB被多次竊取資料而漸漸不被信任。
2/Broken authentication
就是狂猜你的帳號密碼,通常會針對擁有最高權限的管理員帳號去做攻擊。
利用自動化的字典、暴力式的破解來攻擊,目的很簡單,就是要拿到登入的權限去竊取重要機密。
若是設定1234 1111 password等這種弱密碼,就很容易被字典破解。
所以現在在設定密碼時,很常看到底下有紅色到綠色的密碼強度提示,希望使用者可以設定高強度密碼
防止被攻擊、破解,尤其是購物網站這種含有卡號、金流的網站,則特別要注意。
3/Sensitive data exposure
透過傳輸中間做攻擊,從沒有加密的傳輸資料去做竊取資料的動作。
有沒有看過Google Chrome上有時在閱覽網站時,網址旁會出現一個三角形寫「不安全」
這時不但會讓人感覺瀏覽網站時毛毛的,也同樣起疑這個公司企業的網站是否安全或是否真實的疑慮。
畢竟閱覽者大部分不會理解這不安全的定義,直覺就會覺得要趕快跳出。
而這項不安全也會被google的網站排名扣分,就算網頁再好,爬蟲看到你不安全就不想經過你了。
通常看到HTTP開頭沒有S就是沒有加密的傳輸,這時就需要做SSL的加密傳輸,確保中間人不會從中側錄封包資訊
保障資料的安全性。
4/XML external entities (XXE)
利用XML在傳輸解析資料時,並沒有禁止外部實體的進入,在遠端使用外部實體來做檔案讀取
目的為了竊取任意或指定的檔案資料。
5/Broken access control
這項手法,駭客連登入都不需要,直接透過存取權限的漏洞去做攻擊,透過修改檔案路徑等方法
沒有登入同樣也有管理者的最高權限,若被攻擊,甚至會在網頁中大肆破壞,讓網頁無法運作,造成損失。
6/Security misconfigurations
主要在攻擊未受到存取限制保護的檔案,如果猜到檔案路徑,而檔案也沒有受到保護
駭客就可以從中存取資料,竊取機要資訊或是個人隱私資料。
若要預防需要對整個網頁、檔案都做好存取的限制,或是使用白名單(可以有存取權限的名單)
來預防黑名單的有心人士侵入,竊取文件。
7/Cross site scripting (XSS)
這是一種跨網站腳本攻擊,有心人士會在網站內植入惡意的程式碼。
帶來的影響是他會窺探cookie內的資料,擷取個人資訊,就是透過網頁載入時,也一起載入惡意程式碼
達成偷走個人資料的目的。
8/Insecure deserialization
這是一項較難理解的攻擊手法,通常會鎖定java平台、PHP平台等,會使用遠端的操控程式碼去做攻擊
可以攻擊的原因通常都是因為有不安全的java反序列的漏洞。
9/Using components with known vulnerabilities
現在網路上很多所謂的open source 提供模組、框架工具,雖然很好用,可以節省不少時間
但也因為公開很多人使用,所以說自然可以攻擊這項公開工具的程式碼、方法,也會相應的被使用。
若是使用open source的資源,在提供者更新最新版本時沒有跟著一起更新,這樣駭客很有可能透過這段空窗期趁虛而入
攻擊舊版本的弱點,造成損失。公開的工具固然好用,但同時也要記得更新、維護。
10/Insufficient logging and monitoring
你並不知道自己的資料已然外洩,內部監測的反應慢好幾拍,早以讓資料被竊取
要預防這樣的情形發生,平時對於資料安全的警告就要做好,使用異地監控等方式讓安全滴水不露。
別再忽視網頁安全,辛苦經營的網站若是在一夕之間被有心人士攻擊並將其破壞
想必是懊惱及後悔也來不及,透過以上十大網頁安全漏洞的常見手法,希望你能因此能提早預防。
大膽經營、小心維護。
喜歡文章,就分享出去吧!