數位行銷

網站資訊安全 政策及管理

近期,台灣 網站資訊安全 破洞頻傳,華航、微風等公司的個資外洩事件,讓不幸成為受害者的消費者損失慘重,連消基會高層也難倖免。在這個數位時代, 網站資訊安全 的重要性已變得不容忽視。因此,保護個人及企業的資料不受未經授權的訪問、損壞或破壞,成為 網站資訊安全 的首要任務。

相關新聞連結:
微風會員個資驚傳外流 專家建議企業3大面向改善
從華航到iRent都被「駭」 資安危機事件一演再演…… 40天四起個資外洩 中小企業資安拉警報
個資外洩案為何6天查10萬筆承保資料? 健保署解釋了 - 聯合報
網站資訊安全

資訊安全主要是指保護電腦系統、網路、應用程式、資料庫、電子郵件和其他數字化資產不受未經授權的訪問、損壞或破壞。在現代社會中,資訊技術的普及已經成為生活中不可或缺的一部分。因此,保障資訊安全更是迫在眉睫。

以下是幾個資訊安全的重要性:

首先,資訊安全可以保護個人隱私,防止未經授權的人或機構訪問敏感資訊,如個人身份識別資訊、銀行卡號碼、身分證字號等。因此,保障個人隱私資料不被洩漏,是資訊安全的重要一環。

其次,資訊安全可以防止資料損失或被破壞。對於企業和政府組織而言,資料損失可能導致嚴重的財務和聲譽毀壞,甚至可能威脅到國家安全。因此,保障重要資料不受損壞或丟失,是資訊安全的核心任務。

第三,資訊安全可以防止網路攻擊,如 惡意軟體、病毒和釣魚攻擊等。這些攻擊可能會導致網路中斷、資料遺失或被盜取,或者使資料和系統受到損壞。因此,保障網路安全,防止網路攻擊,是保障資訊安全的重要措施之一。

 

接下來說明資訊安全政策及管理

一、資訊安全政策:

1. 什麼是資訊安全政策?


資訊安全 政策是一份組織或企業所制定的文件,旨在指引組織或企業如何保護其資訊系統和資料庫的安全,並確保符合法律、法規和合約的要求。該政策通常包括組織或企業的資訊安全目標、資訊安全策略、風險評估、安全控制措施、資料保護、身份驗證和授權、事件管理、培訓和教育等方面的內容。

透過實行資訊安全政策,組織可以減少資訊安全事故的發生,提高資訊安全防護的能力,確保組織和客戶的機密性、可用性和完整性。此外,資訊安全政策也可以增強組織的信譽和競爭力,維護組織的商業利益。


請制定一份明確的資訊安全政策,並在公司網站上公佈。該政策應包括組織的資訊安全目標、風險評估、安全要求等細節,如下。


目的: 

oo股份有限公司(以下簡稱本公司)為了強化資安管理,確保本公司資料、資訊、設備、人員與網路的機密性、完整性及可用性,特訂定本公司「資訊安全政策」,使本公司避免遭受公司內部與外部的蓄意或意外之任何威脅,達到資訊安全。

二、目標 :

  • 確保本公司資訊作業可正確、完整、可用的持續營運。
  • 維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。
  • 尊重智慧財產權,保護顧客及公司資訊。
  • 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當之通報機制向上反映,並予以適當調查及處理。

三、實施

  • 全體同仁應積極參與及支持各項資訊安全管理制度並透過適當的標準和程序以實施此政策。
  • 新進同仁須參與資訊安全教育訓練以提昇資訊安全防護之認知觀念,公司定期執行資訊安全宣導作業。
  • 本公司所有員工、委外廠商暨其協力廠商及訪客等,凡使用本公司資訊以供資訊服務 或執行相關資訊業務等,皆有責任及義務保護其所取得或使
  • 本公司之資訊資產,以防止遭未經 授權存取、擅改、破壞或不當揭露
  • 同仁個人持有伺服器之帳號、密碼與權限應善盡保管與使用責任並定期置換。

 

二、 網站資訊安全 管理:

 

1. 什麼是網站資訊安全管理?

是指對一個網站的資訊進行全面管理,以確保網站的資訊安全。這包括保護網站的資料庫、網站程式、伺服器,以及防範惡意攻擊和網路風險,以下我們也會針對各種專有名詞進行解釋。

 

*資料庫(Database):

是一個組織化的資料集成,用於存儲、管理和搜尋數據。資料庫可以包含資料表、搜尋、視圖等,並且可以被多個應用程式和用戶共享和訪問。

 

*主機(Host):

是指一臺可以連接到網路上的電腦,它提供了一個中心化的位置,用於存儲和管理資料和應用程式。主機可以被用作伺服器,提供應用程式和資料庫的訪問,也可以被用作工作站,提供用戶界面和訪問網路的功能。

 

*網站程式(Website Program):

通常是指一系列的電腦程式,用於建構和運行一個網站。網站程式可以用不同的語言來撰寫,如PHP、Python、Java、Ruby等等。它們通常被用於處理網站上的各種任務和功能,例如網頁設計、數據處理、用戶登錄、購物車管理、搜尋引擎優化、安全性管理等等。

 

常見的網站程式包括:

  1. 服務器端腳本(Server-side scripting):
    這種程式在網站伺服器上運行,可以用來動態生成網頁內容,包括HTML、CSS、JavaScript、圖片和其他媒體。常見的服務器端腳本語言包括PHP、ASP、JSP和Ruby on Rails等。

  2. 客戶端腳本(Client-side scripting):
    這種程式在網站訪問者的瀏覽器上運行,通常是用JavaScript編寫,用於實現動態交互效果和增強用戶體驗。

  3. 資料庫程式(Database programming):
    這種程式用於存儲和管理網站所需的數據。常見的資料庫包括MySQL、Oracle、PostgreSQL和Microsoft SQL Server等,而編寫資料庫程式的語言包括SQL、PL/SQL和Transact-SQL等。

網站程式是網站運行的核心部分之一,對於網站的性能、安全性和功能實現都有重要的影響。因此,網站程式的開發和維護需要專業的技術和經驗。

 

2.  網站資訊安全 的相關措施

網站資訊安全管理通常需要採取多種措施,如設置防火墻、加密敏感資訊、強化密碼安全、採用多層身份驗證、定期更新和維護軟體和硬體、執行弱點掃描和測試等。同時,網站資訊安全管理還需要對訪問網站的用戶進行監控和管理,以確保其行為不會導致安全風險。


*防火墻(Firewall):

是一種用於保護主機和網路不受未經授權的訪問和攻擊的安全系統。它可以阻止未經授權的網路流量進入或離開一個私有網路,同時允許授權的網路流量通過。

防火墻通常位於網路邊界,例如在企業內部網路和外部網路之間的路由器或防火墻裝置上。它可以實現以下安全功能:

  1. 封鎖不安全的網路流量:防火墻可以檢查傳入和傳出的網絡流量,過濾掉威脅性的流量,例如惡意軟體、病毒和勒索軟體等。

  2. 監控網路流量:防火墻可以記錄網路流量和事件日誌,有助於發現和分析網路攻擊和其他安全事件。

  3. 控制網路訪問權限:防火墻可以根據用戶和程式的需要,限制訪問某些網站或應用程式的權限。

  4. 建立安全 VPN 連接:防火墻可以通過建立虛擬私有網路(VPN)連接,保護遠程訪問企業內部網路的安全性。

防火墻的實現方式可以有軟體和硬體兩種形式。軟體防火墻通常安裝在網路的伺服器或工作站上,用於保護單一主機或用戶。而硬體防火墻通常是一種專用的設備,可提供更高效的防護和更高的網路頻寬,適用於保護整個網路。

 

*網站加密(Website Encryption):

指使用加密技術來保護在網路上傳輸的敏感資訊,例如用戶名稱、密碼、信用卡號碼等。這種加密技術通常是通過使用安全套接層(SSL)或傳輸層安全(TLS)協議來實現的。

當網站啟用加密時,網站上的 URL 會從 "http" 變成 "https"。此外,網站也會顯示一個鎖形圖標,表示該網站使用加密技術來保護資料。

加密的主要目的是保護用戶的隱私和安全。當資料通過加密技術傳輸時,即使有人能夠窺視網路流量,他們也無法讀取加密數據。這可以防止敏感信息被盜取或篡改,從而保護用戶的個人和財務訊息。

網站加密也可以提高網站的信任度和安全性。許多用戶只會在加密網站上進行敏感操作,例如線上付款或提供個人訊息。如果網站沒有啟用加密,這些用戶可能會感到不安全,甚至可能放棄使用該網站。

總之,網站加密是保護 網路資訊安全 的重要技術,對於保護用戶隱私和網站安全至關重要。

 

*強化密碼安全:

是指採用各種技術和方法,使密碼更加安全,更難被破解。在數位時代,密碼是保護帳戶安全的重要手段,但弱密碼常常成為帳戶被盜用的主要原因。因此,強化密碼安全是減少帳戶被盜用風險的關鍵措施。

以下是一些常見的強化密碼安全的方法:

  1. 使用複雜且長度足夠的密碼:一個強密碼應該包含大寫字母、小寫字母、數字和符號,並且越長越好。使用長度為至少12個字符的密碼是一個好的起點。

  2. 不要使用容易猜到的密碼:避免使用出生日期、名字或其他個人訊息作為密碼,因為這些訊息可能很容易被猜到。

  3. 使用密碼管理工具:密碼管理工具可以幫助生成強密碼,並將它們保存在安全的位置。這些工具還可以管理多個帳戶的密碼,減少記憶負擔。

  4. 定期更換密碼:定期更換密碼可以減少密碼泄露的風險。建議每三個月更換一次密碼。

  5. 啟用多層身份驗證:多層身份驗證可以提高帳戶的安全性,使帳戶更難被盜用。

  6. 不要將密碼共享或使用相同的密碼:不要共享密碼,並且為每個帳戶使用不同的密碼,這樣即使有一個帳戶被盜用,其他帳戶也不會受到影響。

總之,強化密碼安全是保護帳戶安全的重要措施。使用強密碼、定期更換密碼、不共享密碼以及使用多層身份驗證等方法可以幫助保護帳戶的安全。

 

*多層身份驗證(Multi-Factor Authentication,MFA):

是一種提高帳戶安全性的技術,它要求用戶在登錄帳戶時通過多個驗證步驟,而不是只使用一個密碼。

傳統的身份驗證只需要用戶輸入帳戶名稱和密碼即可登錄,但是如果這些信息被盜取或破解,攻擊者可以輕鬆地登錄該帳戶並對其進行濫用。多層身份驗證可以增加安全性,因為它需要用戶通過多個驗證步驟,攻擊者需要獲得多個驗證因素才能登錄帳戶。

常見的多層身份驗證因素包括以下幾種:

  1. 知識因素:例如密碼、PIN 碼或安全問題答案等。

  2. 擁有因素:例如信用卡、USB 密鑰或其他安全設備等。

  3. 生物特徵因素:例如指紋、虹膜或面部識別等生物特徵。

當用戶啟用多層身份驗證時,他們需要提供上述多個驗證因素中的兩個或更多個,才能登錄到他們的帳戶。例如,當用戶輸入他們的密碼時,他們可能會收到一個訊息,要求他們輸入一個動態驗證碼,或者用他們的指紋進行身份驗證。

總之,多層身份驗證是一種增加帳戶安全性的有效方法,可以降低帳戶被盜用或濫用的風險,並保護用戶的個人和財務訊息。


*弱點掃描和測試 

弱點掃描和測試是指使用自動化工具或手動技術來檢測軟體程式、操作系統、網路備等中的漏洞和弱點。弱點指的是軟體或系統中的錯誤、瑕疵或缺陷,這些弱點可能會被攻擊者利用來入侵系統、竊取敏感訊息或造成其他危害。

弱點掃描和測試是IT安全領域中重要的一環,幫助企業組織發現和修復系統中的弱點,以減少被攻擊的風險。以下是弱點掃描和測試的常見方法:

  1. 靜態程式分析:對程式進行分析,檢測其中的弱點。

  2. 動態測試:通過對軟體或系統進行測試,檢測其中的弱點。

  3. 網路弱點掃描:通過自動化工具掃描網路中的設備和應用程序,發現其中的弱點。

  4. 應用程序漏洞掃描:通過自動化工具掃描應用程序中的漏洞,包括web應用程序和移動應用程序。

  5. 人工測試:由資安專家通過手動技術對系統進行測試,發現其中的弱點。

弱點掃描和測試可以幫助企業組織及時發現和修復系統中的弱點,以減少被攻擊的風險。但需要注意的是,弱點掃描和測試只是一個起點,真正的安全措施還需要進一步加強,如加強密碼安全、定期更新軟體、加強訪問控制等。

有效的網站資訊安全管理可以減少網站受到惡意攻擊的風險,保護網站上的敏感資料和用戶資訊,確保網站的正常運行和用戶體驗,提高用戶對網站的信任度和滿意度。

 

3.  網站資訊安全 的執行規畫


以下就一步步列舉應該如何執行網站資訊安全管理:

  • 於網站功能修正完成後,須執行功能之弱點掃描和源碼檢測,確保網站各項功能安全無虞,並繳交檢測及修補紀錄報告

    *源碼檢測:
    源碼檢測是指對軟體程式進行檢測和分析,以確保程式符合撰寫標準、最佳實踐和安全要求。源碼檢測可以幫助開發人員發現代碼中的漏洞、弱點和潛在的安全問題,以減少軟體在環境中被攻擊的風險。 源碼檢測通常使用靜態程式分析(Static Code Analysis,SCA)工具來執行。SCA工具可以自動分析程式並提供詳細的報告,這些報告可以識別出代碼中的常見漏洞、未初始化的變數(Variable)、空指標(Null Pointer)引用等問題。一些高等級的SCA工具還可以對程式進行資訊流分析、控制流分析等高級分析技術,以檢測出更複雜的漏洞和安全問題。 源碼檢測可以在開發周期的早期階段進行,從而節省後期修復錯誤的成本。此外,源碼檢測還可以幫助開發人員遵循最佳的撰寫程式慣例,提高程式品質和可維護性。 需要注意的是,源碼檢測不能完全取代測試和審查等。源碼檢測只是整個軟體開發生命週期中的一個環節,必須與其他安全檢測相互配合,以執行更全面和有效的軟體安全保障。

    *變數(Variable):
    是指在程式中存儲資訊的內存位置,用於存儲各種數值、對象或引用等資訊。變數可以在程式中被設置、修改或使用,以實現程式邏輯。

  • *空指標(Null Pointer):
    是指在程式中一個沒有被初始化或被設置為空值(NULL)的指標。指標是一種變數類型,用於存儲某個對象或變數在內存中的位置。如果一個指標被設置為空值,它就不再指向內存中的任何位置,此時對該指標進行引用操作,就可能導致程式異常終止或發生其他錯誤。

    空指標可能會導致程式發生崩潰,並引起安全風險。因此,在開發程式時,需要嚴格控制指標的使用,確保它們被正確地初始化和使用。

  • 進行定期的弱點掃描,以確保網站上的漏洞得以及時發現和修補。掃描的頻率可以視網站的風險評估而定,建議每季度執行1次全網站弱點掃描作業,檢測工具應為近期內之版本,檢測報告完成後,同時提出預計修補做法及時程,俟修補完成後繳交修補報告。

4. 網站資訊安全 的資安檢測項目:

 

  1. 跨網站指令碼攻擊 (Cross site scripting,簡稱XSS):

    是一種常見的Web應用程式攻擊技術,它通過在Web應用程式中注入惡意的指令碼,使攻擊者能夠在受害者的瀏覽器上執行惡意的程式碼,從而獲取敏感訊息或控制受害者的帳戶。

    攻擊者通常會利用Web應用程式中的漏洞,向Web程式注入惡意的指令碼。當受害者訪問被注入惡意指令碼的Web頁面時,瀏覽器將會執行該指令碼,從而導致攻擊成功。

    XSS攻擊的威脅包括但不限於以下幾點:

    1. 盜取用戶敏感訊息:攻擊者可以通過在注入的指令碼中偽造假的登錄頁面或者假的彈出式窗口,騙取用戶輸入敏感訊息,如帳戶密碼等。

    2. 偷取對話訊息:攻擊者可以通過注入惡意的指令碼,竊取受害者的Cookie等對話信息,進而實現對受害者帳戶的控制。

    3. 修改頁面內容:攻擊者可以修改頁面內容,例如在注入的指令碼中添加詛咒、廣告或惡意的連結,從而損害受害者的用戶體驗。

    為了防止XSS攻擊,Web應用程式開發者需要採取多種措施,例如對用戶輸入的內容進行過濾、驗證等,以確保網站頁面時不會有任何惡意的行為。同時,Web程式開發者還應該定期進行安全漏洞掃描和測試,及時發現和修復XSS漏洞。

  2. SQL程式碼注入攻擊 (SQL injection,簡稱SQLi)

    是一種常見的Web應用程式攻擊技術,它通過向Web應用程式的SQL查詢中注入惡意的SQL程式碼,從而繞過應用程式的安全機制,進而取得敏感資訊或對資料庫進行非法操作。

    攻擊者通常會利用Web應用程式中的漏洞,向Web應用程式的SQL查詢中注入惡意的SQL程式碼。當該查詢被執行時,該惡意的SQL程式碼也會被執行,攻擊者就可以利用該漏洞,進行不當操作,例如:

    1. 取得敏感資訊:攻擊者可以利用SQLi漏洞,直接取得資料庫中的敏感資訊,例如用戶名、密碼、信用卡號等。

    2. 刪除或修改數據:攻擊者可以利用SQLi漏洞,刪除或修改資料庫中的資訊,例如修改用戶帳戶的密碼或者刪除整個資料表。

    3. 執行惡意操作:攻擊者可以利用SQLi漏洞,執行惡意的SQL程式碼,例如在資料庫中建立後門,從而長期控制該資料庫。

    為了防止SQLi攻擊,Web程式開發者需要採取多種措施,例如使用預編譯語句、使用參數化查詢、對用戶輸入的內容進行過濾、驗證和編碼等,以確保在執行SQL查詢時不會注入任何惡意的SQL程式碼。同時,Web程式開發者還應該定期進行安全漏洞掃描和測試,及時發現和修復SQLi漏洞。

  3. 程式碼執行攻擊 (Code execution)

    是指攻擊者在未經授權的情況下,通過執行惡意的程式碼,取得對目標系統的控制權,並進一步進行攻擊、盜取敏感資訊等不當操作。

    程式碼執行攻擊通常利用軟體或系統中存在的漏洞,向該軟體或系統中注入或執行惡意的程式碼。攻擊者通常會利用Web程式或者其他軟體中的漏洞,通過向其注入惡意的程式碼,執行攻擊者預期的操作,例如:

    1. 執行惡意軟體:攻擊者可以通過程式碼執行攻擊,將惡意軟體注入到目標系統中,從而取得對系統的控制權,控制目標系統。

    2. 盜取敏感資訊:攻擊者可以通過程式碼執行攻擊,注入惡意程式碼到Web程式中,繞過應用程式的安全機制,取得敏感資訊。

    3. 破壞系統功能:攻擊者可以通過程式碼執行攻擊,破壞系統的功能,例如刪除資訊、修改設定等。

    為了防止程式碼執行攻擊,軟體開發者需要進行網站資訊安全檢測、弱點掃描和測試,及時發現和修復漏洞。另外,還需要使用資訊應用系統開發維護安全管理規範,例如避免使用eval()函數、避免將用戶輸入直接拼接到程式碼中等,以確保軟體或系統的安全性。同時,用戶也應該保持警覺,不要輕易地點擊不明來源的連結或下載不明來源的軟體,以減少受到程式碼執行攻擊的風險。

  4. 目錄遊走 (Directory traversal)

    是指攻擊者利用軟體或系統中的漏洞,越過文件系統的限制,訪問目標系統中未授權的文件或目錄。攻擊者可以通過目錄遊走攻擊,對目標系統進行損壞、竊取敏感資訊等攻擊。

    目錄遊走攻擊通常利用軟體或系統中的漏洞,使攻擊者能夠在文件系統中訪問其沒有權限的文件或目錄。攻擊者通常使用特殊的字符序列(例如 "..")對目錄結構進行操作,越過文件系統中的限制,導致攻擊者能夠訪問其沒有權限的文件或目錄。例如,在Web程式中,攻擊者可以通過目錄遊走攻擊,訪問該應用程式的設定文件,從而繞過應用程式的安全機制,竊取敏感資訊。

    為了防止目錄遊走攻擊,軟體開發者需要對文件系統設置進行嚴格的權限控制,限制應用程式能夠訪問的文件和目錄。同時,軟體開發者需要進行安全漏洞掃描和測試,及時發現和修復漏洞。另外,還需要使用資訊應用系統開發維護安全管理規範,例如對用戶輸入的路徑進行過濾和驗證,防止攻擊者通過注入特殊字符進行目錄遊走攻擊。

  5. 檔案引入攻擊弱點 (File inclusion)

    是指攻擊者利用程式中的漏洞,將自己的程式碼注入到應用程式中,並且在應用程式中執行。攻擊者通常會利用應用程式中輸入的欄位,例如 URL 參數、表單欄位、Cookie 等,來傳遞惡意script,使得應用程式將script當成正常程式碼執行,進而對系統造成損害或竊取敏感資訊。

    檔案引入攻擊弱點通常分為兩種類型:本地檔案引入(Local File Inclusion,LFI)和遠端檔案引入(Remote File Inclusion,RFI)。LFI 攻擊是指攻擊者通過訪問應用程式中的本地檔案來進行攻擊,而 RFI 攻擊則是指攻擊者將惡意script從遠端伺服器傳輸到應用程式中執行。

    為了防止檔案引入攻擊弱點,軟體開發人員可以使用以下方法:

    1. 參數過濾:對輸入的參數進行過濾和驗證,避免攻擊者利用惡意script進行攻擊。

    2. 使用絕對路徑:使用絕對路徑,而不是相對路徑,來引用應用程式中的檔案,以防止攻擊者使用相對路徑進行攻擊。

    3. 限制檔案訪問權限:限制應用程式能夠訪問的檔案和目錄,只允許應用程式訪問必要的檔案和目錄。

    4. 避免使用動態檔案引用:避免使用動態檔案引用,例如 PHP 的 include() 函數或 eval() 函數,以防止攻擊者利用惡意script進行攻擊。

    5. 定期更新軟體:定期更新應用程式和相關模組的版本,以避免已知的漏洞和弱點被攻擊者利用。

  6. 網站程式原始碼暴露 (Script source code disclosure)

    是指網站上的程式原始碼被意外或有意外地公開。這可能會導致安全問題,因為駭客可以通過分析原始碼來發現漏洞和弱點,從而對網站進行攻擊。

    當網站程式原始碼暴露時,攻擊者可以通過查看HTML、CSS、JavaScript和其他腳本檔案等檔案,獲取有關網站的許多敏感訊息。這些訊息可能包括敏感的API密鑰、資料庫憑證、用戶帳戶訊息和其他機密資訊。攻擊者可以使用這些訊息來發動針對網站的攻擊,包括SQL注入、跨站腳本攻擊、跨站點請求偽造等。

    為了防止網站程式原始碼暴露,開發人員應該編寫安全的程式碼並實施適當的安全措施,如應用程式防火牆和安全性測試等。同時,開發人員還應該注意將網站程式原始碼放在適當的位置,並通過設置權限和限制對檔案的訪問來限制對網站程式原始碼的訪問。

  7. 跨頁框指令碼攻擊 (Cross frame scripting)

    也稱為跨框架攻擊(Cross frame attack),是一種利用網頁上的框架(Frame)或內嵌框架(iFrame)來攻擊網站的漏洞。攻擊者可以利用跨頁框指令碼攻擊來在網站上注入惡意的JavaScript程式碼,以便竊取用戶的個人資訊或進行其他惡意行為。

    跨頁框指令碼攻擊的基本原理是攻擊者將惡意的JavaScript程式碼嵌入到一個網頁的框架中,而這個框架屬於另一個網站。當用戶訪問包含這個框架的網頁時,攻擊者的JavaScript程式碼就會被加載和執行,從而導致安全漏洞和攻擊行為的發生。

    為了防止跨頁框指令碼攻擊,開發人員可以採取以下措施:

    1. 禁止使用框架或內嵌框架
    2. 使用 X-Frame-Options HTTP 首部來防止網頁被嵌入到其他網站中
    3. 確保網站使用的第三方腳本和模組都是可信的
    4. 為所有用戶輸入的數據進行適當的驗證和過濾,防止注入攻擊
    5. 使用 Content Security Policy(CSP)來限制網頁中的script執行範圍,防止不必要的script執行。

    這些措施可以幫助開發人員減少跨頁框指令碼攻擊的風險,從而提高網站的安全性。

  8. CRLF注入攻擊

    是一種利用CRLF字元序列(回車換行,\r\n)插入惡意內容的攻擊方式。攻擊者在HTTP的請求或響應標頭中插入CRLF字元序列,並在其中插入惡意的內容,從而能夠執行各種攻擊,如注入惡意程式碼、偽造請求、跳過安全檢查等。

    攻擊者通常會利用CRLF注入攻擊來修改HTTP請求或響應標頭中的內容,以繞過安全檢查或欺騙網站用戶。例如,攻擊者可以在HTTP響應標頭中插入惡意的重定向URL,將用戶重定向到惡意網站上,從而竊取用戶的資訊或執行其他攻擊行為。

    為了防止CRLF注入攻擊,開發人員應該遵循以下最佳實踐:

    1. 過濾輸入:對所有輸入進行適當的驗證和過濾,確保不會包含CRLF字元序列。
    2. 規範化輸出:在HTTP請求和響應標頭中,確保不會使用CRLF字元序列以外的其他字元序列。
    3. 避免使用不受信任的資料:確保不會從不受信任的來源(如用戶輸入、第三方API等)中讀取或傳輸HTTP請求或響應標頭。

    這些措施可以幫助開發人員減少CRLF注入攻擊的風險,從而提高網站的安全性。

  9. 2021-OWASP Top 10所列之弱點
    OWASP Top 10是一份由全球著名的非營利組織OWASP(Open Web Application Security Project)發佈的網路應用程式安全風險排名清單,其中列出了當前最普遍和最危險的十個網路應用程式安全弱點。這些弱點是:


    A01:2021-權限控制失效
     

    從第五名移上來; 94% 被測試的應用程式都有驗測到某種類別權限控制失效的問題。在權限控制失效這個類別中被對應到的 34 個 CWEs 在驗測資料中出現的次數都高於其他的弱點類別。

    A02:2021-加密機制失效 
    提升一名到第二名,在之前為 敏感資料外曝,在此定義下比較類似於一個廣泛的問題而非根本原因。在此重新定義並將問題核心定義在加密機制的失敗,並因此造成敏感性資料外洩或是系統被破壞。

    A03:2021-注入式攻擊 
    下滑到第三名。94% 被測試的應用程式都有驗測到某種類別注入式攻擊的問題。在注入式攻擊這個類別中被對應到的 33 個 CWEs 在驗測資料中出現的次數為弱點問題的第二高。跨站腳本攻擊現在在新版本屬於這個類別。

    A04:2021-不安全設計 
    這是 2021 年版本的新類別,並特別針注在與設計相關的缺失。如果我們真的希望讓整個產業"向左移動"*註一*,那我們必須進一步的往威脅建模,安全設計模塊的觀念,和安全參考架構前進。

    *註一: Move Left 於英文原文中代表在軟體開發及交付過程中,在早期找出及處理相關問題,同 Shift Left Testing。*

    A05:2021-安全設定缺陷 
    從上一版本的第六名移動上來。90% 被測試的應用程式都有驗測到某種類別的安全設定缺陷。在更多的軟體往更高度和有彈性的設定移動,我們並不意外這個類別的問題往上移動。在前版本中的 XML 外部實體注入攻擊 (XML External Entities)現在屬於這個類別。

    A06:2021-危險或過舊的元件 
    在之前標題為 使用有已知弱點的元件。在本次版本中於業界問卷中排名第二,但也有足夠的統計資料讓它可以進入 Top 10。這個類別從 2017 版本的第九名爬升到第六,也是我們持續掙扎做測試和評估風險的類別。這也是唯一一個沒有任何 CVE 能被對應到 CWE 內的類別,所以預設的威脅及影響權重在這類別的分數上被預設為 5.0。

    A07:2021-認證及驗證機制失效 
    在之前標題為 錯誤的認證機制。在本次版本中油第二名下滑至此,並同時包含了將認證相關缺失的 CWE 包含在內。這個類別仍是 Top 10 不可缺少的一環,但同時也有發現現在標準化的架構有協助降低次風險發生機率。

    A08:2021-軟體及資料完整性失效 
    這是 2021 年版本全新的類別,並在軟體更新,機敏及重要資料,和 CI/CD 管道中並沒有做完整性的確認為前提做假設並進行評估。在評估中影響權重最高分的 CVE/CVSS 資料都與這類別中的 10 個 CWE 對應到。2017 年版本中不安全的反序列化現在被合併至此類別。

    A09:2021-資安記錄及監控失效 
    在之前為不完整的紀錄及監控並納入在業界問卷中在本次列名為第三名並從之前的第十名上移。這個類別將擴充去納入更多相關的缺失,但這也是相當難去驗證,並沒有相當多的 CVE/CVSS 資料可以佐證。但是在這個類別中的缺失會直接影響到整體安全的可視性,事件告警及鑑識。

    A10:2021-伺服端請求偽造 
    這個類別是在業界問卷排名第一名,並在此版本內納入。由資料顯示此問題有較低被驗測次數和範圍,但有高於平均的威脅及影響權重比率。這個類別的出現也是因為業界專家重複申明這類別的問題相當重要,即使在本次資料中並沒有足夠的資料去顯示這個問題。

  • 軟硬體設備之安全漏洞防護,須適時修補及配合修改程式,必要時須更新提升系統工具版本。
  • 網站加密:採用可靠的網站加密技術,例如SSL/TLS,以保護敏感資訊的傳輸安全。
  • 建立強密碼:要求建立強制使用強度高的密碼,例如要求密碼長度達到8位以上,並包含大小寫字母、數字和符號等元素。
  • 建立安全備份:建立可靠的安全備份系統,以防止資料損失或災難性事件的發生。建議做異地備份,假如中了勒索病毒至少資料還在。
  • 實施多層次認證:採用多層次認證,例如使用密碼和驗證碼,以增加帳戶的安全性。
  • 建立使用者管理:建立使用者管理系統,限制使用者的權限和訪問範圍,以減少網站被非法存取或攻擊的風險。
  • 網站加密:採用可靠的網站加密技術,例如SSL,以保護敏感資訊的傳輸安全。
  • 網站防火牆:採用可靠的網站防火牆,阻止非法訪問和攻擊。
  • 網站反垃圾郵件系統:採用可靠的網站反垃圾郵件系統,阻止垃圾郵件和釣魚郵件等攻擊。
  • 系統監控日誌記錄系統:採用可靠的系統監控和日誌記錄系統,及時發現系統異常和攻擊事件。

 

 

閱讀完本篇 網站資訊安全 政策及管理相信您已經對網站資訊安全政策及管理 的有一定的了解。然而,實際上網站資訊安全政策及管理 還有許多微妙的步驟,需要考慮更多細節和情況! 以

上是關於 網站資訊安全 政策及管理 的相關資訊,如果您喜歡我們的文章,歡迎分享!也歡迎查看我們的其他文章。如果有任何疑問也歡迎加line和我們聯絡

全後台模組化形象官網,符合各式商業模式與需求,請參考:https://des13.com/service/rwd.html

Written by Ring
作者:益盛科技 專案經理
通過Google Ads-Measurement Assessment
15年 網站專案管理及人員管理實務經驗。 
具網站美編企劃繪製能力
具多媒體網頁設計與 RWD設計之實務經驗

最新文章

原創、翻譯及轉貼的資訊都在這裡。

網站是實現夢想的工具! 開始準備建置您的網站了嗎? 加Line好友
益盛科技

我們重視設計質感與行銷價值

。網頁設計。程式設計。Joomla教學。

 

聯絡資訊

ring@des13.com

點此加我們LINE  @igodos 加line好友

406台中市北屯區文心路四段955號11樓之2(需預約諮詢)

04-37072202 /  0919-413187 

thedes13 

 
coupon 1
點此加我們LINE
DMC Firewall is a Joomla Security extension!