星期三, 11月 22, 2006

無名小站遇「駭」事件

本來昨天就要寫,但昨天中午Blogger又在維修。

無名小站遇「駭」 個資流入中國 兩年輕學子扮駭客入侵主機 警方追查法辦 我只有在自由時報和Yam看到,這則一直被無名否認,但我認為併購案是事實。

這篇是台灣某位高手早在年初時提到無名的XSS漏洞,所以在台灣駭客年會發表的時間已經很晚。個人認為無名對資安的防備仍不夠,看到這篇時就該有所警覺。當然啦,若是敝公司這種整年流量不到無名一小時流量的公司(可能不到10分鐘:P),沒有會員也沒啥資料,還真的可以放給他爛。

為避免無知青少年亂用XSS,不對技術多做介紹。但我相信隨著JavaScript技術成長,XSS的攻擊事件也會增加,在JavaScript的安全模型未改變之前,網站主還是得多小心。

Update:關於此事件必看:十多分鐘抵禦XSS且擊退攻擊的神奇技術?
再Update:現在瀏覽器的安全模型已經改了,不同site都不能呼叫AJAX,但仍要小心。

此事件讓我想到昨天看到大砲開講及這幾天公司許多人中後門,決定要提醒大家,盡可能不要用IE,當然,IE7有改進。
根據可靠小道消息指出,最近大陸駭客相當猖獗,常hack進網站資料庫主機再勒索公司付錢;應該大部份都和解了事,因此各位沒有在媒體上看到相關新聞。據我所知,除Windows主機的漏洞外,Linux也是主要目標,目前聽到的勒索金額從台幣50萬到200萬不等。對於商業網站,在下有以下建議:
  1. DMZ是必要的,最好將內網與DMZ隔離,不要有連結。某個案例是駭客經由網站主機駭到網站主的電腦。
  2. Firewall選用硬體式會比軟體式好,最好內建IDP,敝公司用的是Fortinet,IDP方面稍微不夠力。防火牆最好用Windows與Linux以外的OS :D
  3. 程式一定要防SQL Injection,現在有現成的測試程式,駭客可以輕鬆的找出那支程式有漏洞。
  4. 會員資料必須做某種程度以上的加密,最好是使用非對稱金鑰。加解密元件放在資料庫主機與網站主機以外的電腦,降低被駭的風險。
  5. 定期更新安全漏洞,並執行漏洞檢查程式。

參考資料:
XSS
XSS(Cross Site Scripting)攻擊會讓您遺失Cookie中的資料
XSS、網頁標準、二進位
跨網站指令碼 (Cross-Site Scripting) 與 SQL 程式碼注入攻擊
再談 HTML 注入

沒有留言: