網站的功能可能就是駭客攻擊的弱點，資安顧問揭露網站的潛在威脅

網站開發者在製作網站時，很可能只是基於便於維護等考量，無意留下了駭客可用來滲透的漏洞，在1月23日於富邦國際會議中心舉辦的自動化維運與資訊安全趨勢研討會中，詮睿科技資安顧問陳昱崇（Zero）特別以攻擊者與網站開發者思維的差異，提醒企業必須重視網站安全。

陳昱崇指出，無論駭客攻擊網站的目的為何，不論是為了牟利，還是竊取同業的商業機密，他們下手找出可以入侵網站的角度，往往來自於網站可能潛藏的弱點。他以電子購物網站的功能為例，網站的會員功能，在駭客眼中是能夠取得網站管理權限的途徑，購物車可能曝露網站的商業邏輯漏洞，至於搜尋功能，則有機會進行跨網站腳本攻擊（XSS）。而針對手機上網用戶的行動版網頁，也可能存在了行動裝置App的弱點，或是API存取機制的問題等。陳昱崇說，這些極為常見、企業與使用者也視為理所當然的電子商務平臺功能，在攻擊者的觀點看來，則是有機會找出下手弱點的地方。

電商網站上常見的功能，在駭客的角度看來，都是可能用來發動攻擊的地方。

資料庫注入漏洞仍是最頻繁的攻擊手段

根據OWASP在2013年與2017年歸納的前10大網站攻擊手法，陳昱崇指出，雖然2017年時多了XML外部實體注入（XML External Entity Injection，XXE）等新項目，但資料庫的注入（SQL Injection）攻擊手法在兩次統計之中，都是位居榜首，因此，截至目前為止，這種攻擊方式還是相當常見。

OSWAP彙整出的網站攻擊前10大手法中，最近兩次的整理先後在2013年與2017年推出，後者的排行裡，雖然出現新的手法，但大部分仍延續前一次的項目，尤其是SQL資料庫的注入（Injection）攻擊，依舊是2017年最為嚴重的網站威脅。

陳昱崇也引用了資料庫注入攻擊的經典漫畫－－故事的主角被打針之後，回到家竟發現桌子不見了，然後才想起來他剛剛受到了資料庫注入（SQL Injection）攻擊。桌子消失意指駭客在發動注入攻擊之後，會移除資料庫的資料表（Dropping Table），導致資料庫所有者再也無法取得其中內容。

不過，資料庫注入攻擊難道真的只能用來盜取企業網站的資料嗎？有些人會想到，微軟SQL Server 2008開始，預設將xp_cmdshell關閉，理論上網站搭配具備這種管制政策的資料庫，應該安全性就可以得到改善。然而，陳昱崇說，若是網站採用的是SA帳號存取資料庫，或是駭客取得企業AD環境裡的管理者權限，便可直接重新開啟相關功能，從網站上的漏洞，注入像是中國菜刀等一行指令，將後門置入，將網站作為滲透企業內部網路的跳板。

陳昱崇以他工作檢測到客戶的網站為例，該企業發現疑似個資外洩的情況，便懷疑客服系統出現異常，經陳昱崇檢查之後，發現其中部分欄位沒有做到正規化，一旦攻擊者注入指令，就能得知該公司使用者的名單，甚至是內部網路路由的規畫等等。陳昱崇說，駭客可將整個資料庫複製出來，假若取得的權限夠大，也能夠植入各式的作案工具。

跨網站腳本攻擊可變相應用

另一個相當常聽到的網站攻擊方式，是跨網站腳本攻擊，就手法的原理而言，它主要是針對前端的使用者，讓使用者看到駭客竄改後的內容，並非實際滲透到網站伺服器。陳昱崇舉出總統府網站曾經遭到相關攻擊的事件，攻擊者在網頁加上了iFrame，使得使用者會在該網站上，看到前總統馬英九和執政團隊跳韓國流行歌曲Sorry, Sorry的影片，就是採用這種手法。

跨網站腳本攻擊的應用，不只能竄改網頁內容，攻擊者也可以植入惡意軟體，使得瀏覽者存取後，電腦就中毒。但陳昱崇說，駭客能運用的方式，遠遠超過只是在網頁上加料，例如，某個網站以使用者電腦上載入的JavaScript，過濾所填寫個資的內容，駭客可利用額外架設的代理伺服器（Proxy），在封包送出之前，才做修改，便能繞過上述的檢測機制，填寫任意的內容，進而截取Cookie，用來對網站管理者發動網路釣魚攻擊，一旦成功，駭客就可能得以取得網站後臺的管理權限。陳昱崇強調，這樣的複合攻擊手法，一般的網站弱點檢測難以找出相關的漏洞。

設計瑕疵也會變成企業網站疏於防範的弱點

除了常見的攻擊手法，陳昱崇認為，網站開發者基於日後維護和除錯等考量，可能因此留下了駭客可利用的管道，像是許多電商網站以使用者與行動電話號碼綁定，做為用戶實名制的措施，這種做法中，使用者註冊一個帳號之後，網站就以簡訊寄送驗證碼，確認該行動電話是使用者所有。

網站開發者雖然想要透過手機簡訊一次性的動態密碼（OTP），進而做到會員的實名制。但陳昱崇說，有的開發者為了除錯方便，竟在回應網頁程式碼裡，埋入驗證碼內容，以為不會有人會看，駭客一旦發現就能隨意註冊大量的人頭帳號。

但是，有的網站開發者為了除錯，竟將驗證碼留存在用戶驗證的網頁程式碼中，也認為不會有人會刻意去看網頁的原始碼，攻擊者一旦留意到開發者保留的驗證碼，就能任意註冊帳號，使得這個網站的用戶實名化形同虛設，進而濫用。

此外，陳昱崇指出，開發者也可能相當倚賴各式的防護機制，例如SSL流量加密，但駭客也可能見招拆招，以上述的保護機制而言，攻擊者很可能能夠利用已經取得Root權限的Android手機，進而移除相關憑證，發動中間人攻擊（MITM）。網站開發者很可能認為，使用者執行我所提供的App，與Web的互動性有所不同，功能受前端限制，而且後端處於隱匿狀態，應該沒有安全疑慮；然而攻擊者則試圖找出不需經過驗證機制的API，以便竊取資料，甚至他們發現，有些公司的API能直接在Google上搜尋得到（Google Hacking）。

有些企業為求方便，還會大開不必要網站的權限或是功能，使之成為對駭客友善的（Hacker Friendly）弱點，陳昱崇說，這就好像是網站開發者幫駭客開發了用來攻擊自己的工具。

保護必須依據網站進行妥善配置

面對各式的網站威脅，企業可能會用網頁應用程式防火牆（WAF），防範各式網路第7層的攻擊，而基本上，這類防護機制能夠保護網站各種技術上的弱點，像是資料庫注入等缺陷，甚至普遍能遮蓋信用卡等機敏資料，減少資料外洩的風險。不過，陳昱崇說，WAF功能上的局限性，則是部分商業流程上的設計瑕疵，由於往往是設計給使用者的正常功能，難以藉此防範。

另外一個常見的現象，則是許多的IT人員部署了WAF之後，就可能以為高枕無憂，陳昱崇表示，事實上大多數的WAF設備，預設並未完全開啟符合企業網站要求的功能，因此他認為，妥善的政策設定非常重要，這類設備才能真實發揮保護的能力。