本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
企業資安
19.May.2020
防疫宅經濟持續發燒 如何抵擋駭客攻擊、保護網路交易安全
從2020年2月開始,因為COVID-19疫情的影響,市場上吹起一股宅經濟旋風,人們對於電商平台與影音串流平台的使用率大幅增加。但線上交易網站或平台可能潛藏許多資訊安全問題。早在2016年,資安研究人員就曾向Uber通報安全漏洞[6],攻擊者能藉由暴力猜測,取得有使用次數限制且價值在五千至二萬五千美元的Uber折扣優惠碼。因此,線上交易網站從會員註冊(填寫個人資料)、登入到購買付費的過程中,若是網站存在安全弱點,便有可能遭惡意的攻擊者盜用,或是竊取個人與財務資料等重要資訊。
近年來攻擊者常使用分散式阻斷服務攻擊,嘗試癱換目標網站
OWASP(The Open Web Application Security Project)是一個非營利組織,早期以研究、發佈網站應用程式安全為主[1],所提出的OWASP Top 10更是業界相當具參考性的指南。有些提供線上交易的系統平台,由於本身就存在弱點,像是知名電商平台Magento、Joomla套件和Wordpress套件,都曾被發現,存在著可被竊取資料庫資訊的SQL injection漏洞[2][3][4],而SQL injection便屬於OWASP TOP 10中,排名第一的資安風險:注入攻擊(Injection)[5]。
上述的Uber案例,攻擊者可透過不斷地重複猜測,取得折扣優惠碼的漏洞,便是屬於OWASP TOP 10中,排名第二的資安風險:無效的身分驗證(Broken Authentication)[7]。網站開發人員可將認證機制改為多重認證(MFA)機制,例如在可能被攻擊的頁面新增reCAPTCHA v3的防禦機制,將絕大多數的自動化攻擊程式無效化,或是加入帳戶鎖定機制,限制在一段時間內,使用者能輸入的次數,若使用者超過此次數,則需等待一段時間後才能再次登入操作。
然而,當今網站往往宣稱使用了安全加密通道(HTTPS),因此不會存在安全漏洞,但其實這僅僅避免OWASP TOP 10中,排名第三的資安風險:機敏資訊外洩(Sensitive Data Exposure)[8],透過安全加密連線,避免攻擊者中間人攻擊(Man-in-the-middle attack)、竊聽使用者的流量,取得帳號、密碼及信用卡號,但卻無法解決上述無效的身分驗證問題。
滲透測試與DDoS演練能確保現行的資安防護機制正確運作,以阻擋攻擊者的攻擊行為
除了上述實際案例與OWASP常見的攻擊手法,會導致線上交易的安全問題之外,近年來攻擊者經常使用分散式阻斷服務攻擊(Distributed Denial of Service Attack),嘗試癱換目標網站,導致使用者無法連線到該網站,造成服務中斷與財務上的損失。在2017年初時,全台許多提供線上下單的證券商都分別收到來自駭客的勒索信件,收到恐嚇信的券商們立即向金管會報案,而在收到信的同一時段,部分券商也遭到駭客發動試探性DDoS攻擊,造成部分交易停擺。在駭客的信中表明,若不付款就會遭到後續的DDoS攻擊,在駭客的恐嚇下,有些中小型券商怕線上交易系統遭殃,就私下付款給駭客;但還是有不少證券商遭受到DDoS攻擊;因此,建立DDoS防禦與應變作業程序,並且每年辦理DDoS攻擊應變演練,才可有效降低遭受DDoS攻擊影響的時間與傷害。
為保護使用者個資與線上交易網站能正常營運,線上交易網站的經營企業需定期執行滲透測試與DDoS演練,確保現行的資安防護機制能正確運作,以阻擋攻擊者的攻擊行為。安華聯網的資安團隊可模擬真實駭客攻擊,能同時際控制超過1,000台來自全球不同34個國家的主機進行DDoS攻擊,同時執行多種第四層與第七層網路攻擊手法,並且根據客戶的需求設計自定義執行時間長度、流量大小、連線數數量及封包內容,最高可達到同一時間500G到1T的流量。無論是驗證系統對於DDoS攻擊的承載程度,或者是進行使用者連線數的壓力測試,安華聯網都可提供客戶最完整的網站安全檢測服務,解決各種客戶所面臨到的資安需求。
媒體報導
參考資料:
[1] https://owasp.org/
[2] hehackernews.com/2019/03/magento-website-security.html
[3] https://thehackernews.com/2017/05/joomla-security-update.html
[4] https://thehackernews.com/2017/06/wordpress-hacking-sql-injection.html
[5] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A1-Injection
[6] https://thehackernews.com/2016/06/unlimited-uber-free-rides.html
[7] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A2-Broken_Authentication
[8] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A3-Sensitive_Data_Exposure