中小企與非牟利機構網站的常見保安問題
日期 : 2021年8月2日
機構 : 香港專業教育學院 網絡安全中心
作者 : 吳港深先生
與網站相關的攻擊近年不斷上升,黑客透過尋找網站系統的漏洞發動攻擊,包括偷取網站的數據庫資料,惡意刪改網站內容或進行拒絕服務∕分布式拒絕服務(Denial of Service(DoS)/Distributed Denial of Service(DDoS))攻擊等等。這些針對網站的攻擊會影響網站的機密性(Confidentiality),完整性(Integrity)與可用性(Availability),繼而影響機構的形象和令其聲譽受損。
以下將會討論幾種常見的網站攻擊的成因。
SQL 插入(SQL injection)
網站的各種資訊透過後台的資料庫保存,因此網站程式透過 SQL 指令讀取資料庫於是十分常見的。如果網站程式員在編寫網站時忽略過濾用戶的輸入,黑客就有可能透過構建惡意的字串,引導程式執行惡意的 SQL 指令,從而盜取機構的敏感資料。
弱密碼(Weak Password)與預設密碼(Default Password)
當購入或安裝現成系統的時候,系統一般會備有預設密碼並要求用戶在安裝或啟動系統時作出更改。假若用戶忘記更改密碼,黑客就能透過辨認系統的程式版本並從互聯網上找出相應的預設密碼。再者,即使更改了密碼,如果密碼強度不足,黑客依然能夠透過暴力攻擊(Brute-force attack)破解系統的密碼,繼而非法入侵系統。
篡改參數(Parameter Tampering)
相對上述兩種攻擊,篡改參數更難被發現。這種攻擊的成因在於網站程式員的警覺性不足,錯誤的輸入資料,例如黑客透過惡意輸入錯誤的購買金額或數量,誘導網站進行錯誤的處理,從而令網站蒙受損失。
網站被攻擊所帶來的影響
網站被破壞會影響公司的形象與客戶的信心。黑客能透過盜取網站內部資料,如帳號、信用卡號碼等等轉售獲利,或是利用獲得的登入憑證 (Login Credentials) 對其他系統進行攻擊。存在漏洞的網站或會成為內部網絡的跳板,讓黑客能透過網站伺服器進行橫向移動(Lateral Movement)攻擊公司內部網絡,造成更多損失。
保護網站安全的措施
- 透過監測網站日誌,洞察與基線(Baseline)不相符的網絡行為,及早發現潛在攻擊。例如不應該在請求中出現的SQL 字串或者是連續向不存在的頁面發出請求,這些都是潛在的網站攻擊特徵。
- 利用網上應用系統防火牆(Web Application Firewall)檢測不正常的網站流量,從而就網站攻擊發出警告與防禦。
- 使用防火牆設置網絡隔離區(Demilitarised Zone, DMZ),將網站伺服器網絡與內部網絡分隔開,從而減低因網站被入侵而令公司內部網絡受到攻擊的風險。