dekra

避免成为下一个LockBit受害者:应对信息安全攻击的关键措施

从渗透测试到红队演练 扩大诊断潜藏的信息安全威胁

2023构筑OT安全迫在眉睫 如何建构IEC 62443-2-4 & 3-3防护基底

如何100%提升客户信任度 导入ISO 22301循序落实企业永续经营目标

信息安全防御再升级 仲至信息助奇邑科技通过ISO27001、ISO27017双认证

智慧医疗网络安全立法 医疗设备商该如何着手部署

联网车如何抵挡恶意攻击?汽车供应链安全最新趋势

仲至信息提出APP与SWIFT CSP合规建议 助力消弭FinTech网络安全风险

疫情催化加速智慧医疗器械网络安全 风险评估8大重点

DDoS攻击再进化:封包能放大 65 倍的TCP Middlebox Reflection

企业网络安全
19.May.2020

防疫宅经济持续发烧 如何抵挡黑客攻击、保护网络交易安全

分享:
从2020年2月开始,因为COVID-19疫情的影响,市场上吹起一股宅经济旋风,人们对于电商平台与影音串流平台的使用率大幅增加。但线上交易网站或平台可能潜藏许多网络信息安全问题。早在2016年,网络信息安全研究人员就曾向Uber通报安全漏洞[6],攻击者能藉由暴力猜测,取得有使用次数限制且价值在五千至二万五千美元的Uber折扣优惠码。因此,线上交易网站从会员注册(填写个人资料)、登入到购买付费的过程中,若是网站存在安全漏洞,便有可能遭恶意的攻击者盗用,或是窃取个人与财务资料等重要信息。
 
近年来攻击者常使用分布式阻断服务攻击,尝试瘫换目标网站
近年来攻击者常使用分布式阻断服务攻击,尝试瘫换目标网站


OWASP(The Open Web Application Security Project)是一个非营利组织,早期以研究、发布网站应用程序安全为主[1],所提出的OWASP Top 10更是业界相当具参考性的指南。有些提供线上交易的系统平台,由于本身就存在漏洞,像是知名电商平台Magento、Joomla套件和Wordpress套件,都曾被发现,存在着可被窃取数据库信息的SQL injection漏洞[2][3] [4],而SQL injection便属于OWASP TOP 10中,排名第一的网络信息安全风险:注入攻击(Injection)[5]。

上述的Uber案例,攻击者可通过不断地重复猜测,取得折扣优惠码的漏洞,便是属于OWASP TOP 10中,排名第二的网络信息安全风险:无效的身份验证(Broken Authentication)[7]。网站开发人员可将认证机制改为多重认证(MFA)机制,例如在可能被攻击的页面新增reCAPTCHA v3的防御机制,将绝大多数的自动化攻击程程序无效化,或是加入帐户锁定机制,限制在一段时间内,使用者能输入的次数,若使用者超过此次数,则需等待一段时间后才能再次登入操作。

然而,当今网站往往宣称使用了安全加密通道(HTTPS),因此不会存在安全漏洞,但其实这仅仅避免OWASP TOP 10中,排名第三的网络信息安全风险:敏感信息外泄(Sensitive Data Exposure)[8],通过安全加密连线,避免攻击者中间人攻击(Man-in-the-middle attack)、窃听使用者的流量,取得帐号、密码及信用卡号,但却无法解决上述无效的身份验证问题。
 
渗透测试与DDoS演练能确保现行的网络信息安全防护机制正确运作,以阻挡攻击者的攻击行为
渗透测试与DDoS演练能确保现行的网络信息安全防护机制正确运作,以阻挡攻击者的攻击行为


除了上述实际案例与OWASP常见的攻击手法,会导致线上交易的安全问题之外,近年来攻击者经常使用分布式拒绝服务攻击(Distributed Denial of Service Attack),尝试瘫换目标网站,导致使用者无法连线到该网站,造成服务中断与财务上的损失。在2017年初时,国内许多提供线上下单的证券商都分别收到来自黑客的勒索信件,收到恐吓信的券商们立即向金管会报案,而在收到信的同一时段,部分券商也遭到黑客发动试探性DDoS攻击,造成部分交易停摆。在黑客的信中表明,若不付款就会遭到后续的DDoS攻击,在黑客的恐吓下,有些中小型券商怕线上交易系统遭殃,就私下付款给黑客;但还是有不少证券商遭受到DDoS攻击;因此,建立DDoS防御与应变作业程序,同时每年进行DDoS攻击应变演练,才能有效降低遭受DDoS攻击的影响时间与损害。

为保障用户个人资产与在线交易平台的正常营运,在线交易平台的经营企业需定期执行渗透测试与DDoS演练,确保现行的网络信息安全防护机制能正确运作,以阻挡攻击者的攻击行为。仲至信息科技的网络信息安全团队可模拟真实黑客攻击,能同时控制来自全球34个国家的1,000多台主机,并进行DDoS攻击,同时执行多种第四层与第七层网络攻击手法,且根据客户的需求设计自定义执行时间长度、流量大小、连线数数量及封包内容,最高可达到同一时间500G到1T的流量。无论是验证系统对DDoS攻击的承载程度,还是进行用户连线数的压力测试,仲至信息科技都能为客户提供最完整的网站安全检测服务,充分满足广大客户的网络信息安全需求。
 
 
参考资料:
[1] https://owasp.org/
[2] hehackernews.com/2019/03/magento-website-security.html
[3] https://thehackernews.com/2017/05/joomla-security-update.html
[4] https://thehackernews.com/2017/06/wordpress-hacking-sql-injection.html
[5] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A1-Injection
[6] https://thehackernews.com/2016/06/unlimited-uber-free-rides.html
[7] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A2-Broken_Authentication
[8] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A3-Sensitive_Data_Exposure
博客 活动 白皮书

询问

联络我们
感谢您访问我们。 请留下您的联系方式,我们会尽快回复您。
  • 仲至信息致力于保护您的隐私。您的资料不会与第三方共享,您将不定期收到信息安全相关讯息和活动。您可以随时退订。欲了解更多,请阅读我们的隐私权政策。左方请勾选是否同意仲至信息隐私权政策,以便提供您相关内容。
    提交

为何选择仲至信息

深度网络安全检测技术+

  • 已发现40+全球首发安全漏洞(CVE)
  • 已发掘3000+物联网安全漏洞

深耕物联网产品安全+

  • 执行150+物联网产业相关网络安全专案
  • 测试超过700+连网产品安全

全球合规与认验证能力+

  • 协助全球10+国家与300+客户通过认验证
  • 具工控、金融、医疗、车载等产业合规经验
2023 Onward Security, a DEKRA Company. All rights reserved.
dekra
  • x
WeChat