果核2023最終場駭客論壇，探討網站風險、原碼檢測盲點與Crypto黑暗面

企業資安茲事體大、牽涉的環節甚多；而在多不勝數的資安課題中，舉凡網站安全、原碼弱點檢測，無疑都是至關重要的防禦基本功，稍有不慎，可能致令企業招惹勒索攻擊、社交工程攻擊…等禍患。

有鑑於此，果核數位在日前舉辦的2023年最後一場駭客論壇中，設計「網站安全常見風險與風險管理」、「原碼掃描兩三事」等關鍵議程。不僅如此，果核還向區塊鏈、Web3新興議題看齊，同場加映「加密資幣洗錢和駭客攻擊趨勢分析」議題。

果核數位資安部副理 Elmo Hsiao

Freestyle開發，埋下網站安全破口

果核資安部副理Elmo Hsiao指出，談到為何網站不安全，係因現在是「自由世界」，開發者採取非常奔放的寫法，加上企業也未多加審視，導致網站存有漏洞。她歸納2023年常見的網站安全風險，大致包含身分鑑別、安全性設定、生命週期、邏輯型等幾種類型。

以身分鑑別為例，除了Session問題，像是Cookie Flag、Login / Logout、Timeout等；今年度遇到不少權限提升問題，權限提升又細分為水平提權與垂直提權。有關安全性設定，也蘊含與加密協定、安全標頭...等類別風險。至於生命週期，主要癥結在於版本問題，如PHP 7於2022年底已停止支援，原本非屬中高風險，企業暫未強制修補，也未針對暫不修補之風險追蹤紀錄，近期風險層級升高，導致許多業主措手不及。最後是邏輯型問題，開發者自由的邏輯而造成工作流程缺失與不當，讓駭客有機可乘。

Elmo Hsiao接著分享諸多故事。第一個案例，開發者使用現成開源套裝軟體製作社交互動網站；當網站上架後衍生許多問題，像是未移除安裝頁面、未限制安裝頁面的存取，讓外人有機會創建管理者帳號，任意使用各種功能，甚至可以遠端執行代碼。她建議爾後使用開源軟體前，須釐清該版本軟體有多少CVE漏洞、CVE發現時間、風險等級與修補狀態，並查看GitHub上有無一些Issue，是否有討論與回覆。

第二個案例，開發者把公司的「家產」放在網站根目錄下，很容易被找出一些phpinfo.php、web.config(.bak)、demopage、程式碼的備份檔（如php_bak）、/.git/、連整包程式的壓縮檔（Ex: https://test.tw/[20xx].tar.gz）都能拿下，甚至曾發現過 .bash_history，導致外人欲查看過去改了什麼、下了什麼命令皆無困難，想瀏覽其他內容也很快，因而衍生敏感資訊外洩、SQL Injection等重大風險。正確來說，即使企業於開發過程中，需要開啟debug mode，甚至有測試頁面、程式碼備份，但哪天只要上正式站，切記一定要針對瀏覽權限做調整，把一些過大的權限關閉掉，並將多餘的檔案移除掉。

果核數位軟體開發安全部資安顧問 林秉正 

疏於原碼掃描，恐意外付出慘重代價

果核數位軟體開發安全部資安顧問林秉正（Beck Lin），藉由實務案例來探討原碼掃描必要性。某甲方（即雇主方）提出原始需求，想分別建置內外網站台，其中外網站台需移除簽核流程、檔案上傳等部分功能，內網有完整功能；內外網登入方式有所不同，但共用同一資料庫，資料庫存放於內網網段。

外網使用者透過Internet進入F5設備進行負載平衡、DDoS防禦，接著到達外網站台，再經過一連串驗證、防火牆過濾，進到內網資料庫做資料存取。反觀內網使用者須於內網網段並通過AD驗證，方能成功登入內網站台。以此情境而論，內外網站台本質上是同一包程式碼，但外網使用功能需求較少，因此移除部分程式碼，內網則為完整的程式碼。

林秉正說，後來讓人意外的，內網站台遭駭客植入後門，釀成資安事件，外網站台反倒未被攻擊得逞。深究其因，在於甲方誤認內網防護力較足，未比照外網實施原碼掃描，所以累積眾多漏洞，甚至在檔案上傳功能部份，僅限制檔案大小，連最基本的副檔名都未做驗證，也難怪駭客順利植入後門程式。

據聞該甲方無意做內網站台原碼掃描，還有一個考量，因內網站台功能完整、程式碼較大，擔心若掃出較多弱點，清理上耗時費力，恐影響專案上線時程；肇因於這些不當規劃，導致內部釀成安全事端，最終還得支付昂貴成本找外部專業團隊執行鑑識，成本之高、更甚養數名內部工程師專責修復弱點；顯見輕忽原碼掃描，可能帶來不可承受之重。

XREX 首席資安工程師 Wolf Chan

永不相信、持續驗證，慎防Web3釣魚詐騙

擔任壓軸講師的XREX首席資安工程師Wolf Chan說，加密貨幣（Crypto）底層技術為區塊鏈，具去中心、透明、不可竄改等特質，與傳統金融大不相同。所謂洗錢，即是把乾淨的錢洗成你看不懂的錢，讓人無法追溯到來源，隱藏不法動機；而在Web3洗錢模式中，犯罪者會製造很多斷點、混淆錢的流向，他們習慣化整為零，把一大筆資金分成多批在鏈上流動，或者是透過如：幣商來實施場外交易（繞過KYC程序），使反洗錢的追蹤難度急遽升高。

除述說犯罪者如何利用加密貨幣進行洗錢外，Wolf Chan也闡釋加密貨幣的攻擊事件，包括2014年出現的交易所攻擊，以及2017年起至今的勒索攻擊、初始代幣（ICO）與智能合約攻擊，2020年起至今的去中心化金融（DeFi）攻擊。

隨著攻擊手法持續精進，相關從業人員資安意識也須同步提升，才能因應最新攻擊威脅。

至於常見的Client Side攻擊方式，其實不管傳統Web2或現在Web3，類似的攻擊手法仍層出不窮，如大家常見的釣魚攻擊形態。對於剛接觸幣圈的人，或許知道透過區塊鏈進行服務時，會需要簽名，但不一定清楚知道簽名背後的原理，而常見的簽名方式有：eth_sign、personal_sign、eip712_sign等三種簽章方式，而現階段Metamask錢包已不支援相對不安全的eth_sign，但也不代表看似最嚴謹的eip712_sign就安全無虞；譬如你從你的A地址打錢到項目方的B地址，看起來脈絡清晰，但實際上仍有可能連到假合約，當你按下Sign這個動作時，意謂存取權已被攻擊者掌控，讓他有機會盜走你的全部資金。

所以Wolf Chan提醒，假使你想進入幣圈或使用區塊鏈服務的同時，切記永遠莫相信他人，必須持續驗證對方，保持驗證，絕不要輕易相信眼前的這個網站或服務，就能大幅降低被駭或被盜的風險。