果核 2023 最終場駭客論壇,探討網站風險、原碼檢測盲點與 Crypto 黑暗面

2024/01/02

企業資安茲事體大、牽涉的環節甚多;而在多不勝數的資安課題中,舉凡網站安全、原碼弱點檢測,無疑都是至關重要的防禦基本功,稍有不慎,可能致令企業招惹勒索攻擊、社交工程攻擊⋯等禍患。

有鑑於此,果核數位在日前舉辦的 2023 年最後一場駭客論壇中,設計「網站安全常見風險與風險管理」、「原碼掃描兩三事」等關鍵議程。不僅如此,果核還向區塊鏈、Web3 新興議題看齊,同場加映「加密資幣洗錢和駭客攻擊趨勢分析」議題。


Freestyle 開發,埋下網站安全破口

果核資安部副理Elmo Hsiao 指出,談到為何網站不安全, 係因現在是「自由世界」,開發者採取非常奔放的寫法,加上企業也未多加審視,導致網站存有漏洞。她歸納 2023 年常見的網站安全風險,大致包含身分鑑別、安全性設定、生命週期、邏輯型等幾種類型。以身分鑑別為例,除了 Session 問題,像是Cookie Flag、Login / Logout、Timeout 等;今年度遇到不少權限提升問題,權限提升又細分為水平提權與垂直提權。有關安全性設定,也蘊含與加密協定、安全標頭⋯等類別風險。至於生命週期,主要癥結在於版本問題,如 PHP 7 於 2022 年底已停止支援,原本非屬中高風險,企業暫未強制修補,也未針對暫不修補之風險追蹤紀錄,近期風險層級升高,導致許多業主措手不及。最後是邏輯型問題,開發者自由的邏輯而造成工作流程缺失與不當,讓駭客有機可乘。


Elmo Hsiao 接著分享諸多故事。第一個案例,開發者使用現成開源套裝軟體製作社交互動網站;當網站上架後衍生許多問題,像是未移除安裝頁面、未限制安裝頁面的存取,讓外人有機會創建管理者帳號,任意使用各種功能,甚至可以遠端執行代碼。她建議爾後使用開源軟體前,須釐清該版本軟體有多少 CVE 漏洞、CVE 發現時間、風險等級與修補狀態,並查看 GitHub 上有無一些 Issue,是否有討論與回覆。


第二個案例,開發者把公司的「家產」放在網站根目錄下,很容易被找出一些 phpinfo.php、web.config(.bak)、demopage、程式碼的備份檔(如php_bak)、/.git/、連整包程式的壓縮檔(Ex: https://test.tw/[20xx].tar.gz)都能拿下,甚至曾發現過 .bash_history,導致外人欲查看過去改了什麼、下了什麼命令皆無困難,想瀏覽其他內容也很快,因而衍生敏感資訊外洩、SQL Injection 等重大風險。正確來說,即使企業於開發過程中,需要開啟 debug mode,甚至有測試頁面、程式碼備份,但哪天只要上正式站,切記一定要針對瀏覽權限做調整,把一些過大的權限關閉掉,並將多餘的檔案移除掉。


疏於原碼掃描,恐意外付出慘重代價

果核數位軟體開發安全部資安顧問林秉正(Beck Lin),藉由實務案例來探討原碼掃描必要性。某甲方(即雇主方)提出原始需求,想分別建置內外網站台,其中外網站台需移除簽核流程、檔案上傳等部分功能,內網有完整功能;內外網登入方式有所不同,但共用同一資料庫,資料庫存放於內網網段。外網使用者透過 Internet 進入 F5 設備進行負載平衡、DDoS 防禦,接著到達外網站台,再經過一連串驗證、防火牆過濾,進到內網資料庫做資料存取。反觀內網使用者須於內網網段並通過 AD 驗證,方能成功登入內網站台。以此情境而論,內外網站台本質上是同一包程式碼,但外網使用功能需求較少,因此移除部分程式碼,內網則為完整的程式碼。


林秉正說,後來讓人意外的,內網站台遭駭客植入後門,釀成資安事件,外網站台反倒未被攻擊得逞。深究其因,在於甲方誤認內網防護力較足,未比照外網實施原碼掃描,所以累積眾多漏洞,甚至在檔案上傳功能部份,僅限制檔案大小,連最基本的副檔名都未做驗證,也難怪駭客順利植入後門程式。據聞該甲方無意做內網站台原碼掃描,還有一個考量,因內網站台功能完整、程式碼較大,擔心若掃出較多弱點,清理上耗時費力,恐影響專案上線時程;肇因於這些不當規劃,導致內部釀成安全事端,最終還得支付昂貴成本找外部專業團隊執行鑑識,成本之高、更甚養數名內部工程師專責修復弱點;顯見輕忽原碼掃描,可能帶來不可承受之重。


永不相信、持續驗證,慎防 Web3 釣魚詐騙

擔任壓軸講師的XREX 首席資安工程師Wolf Chan 說,加密貨幣(Crypto)底層技術為區塊鏈,具去中心、透明、不可竄改等特質,與傳統金融大不相同。所謂洗錢,即是把乾淨的錢洗成你看不懂的錢,讓人無法追溯到來源,隱藏不法動機;而在 Web3 洗錢模式中,

犯罪者會製造很多斷點、混淆錢的流向,他們習慣化整為零,把一大筆資金分成多批在鏈上流動,或者是透過如:幣商來實施場外交易(繞過 KYC 程序),使反洗錢的追蹤難度急遽升高。


除述說犯罪者如何利用加密貨幣進行洗錢外,Wolf Chan 也闡釋加密貨幣的攻擊事件,包括2014 年出現的交易所攻擊,以及 2017 年起至今的勒索攻擊、初始代幣(ICO)與智能合約攻擊,2020 年起至今的去中心化金融(DeFi)攻擊。隨著攻擊手法持續精進,相關從業人員資安意識也須同步提升,才能因應最新攻擊威脅。至於常見的 Client Side 攻擊方式,其實不管傳統 Web2 或現在 Web3,類似的攻擊手法仍層出不窮,如大家常見的釣魚攻擊形態。對於剛接觸幣圈的人,或許知道透過區塊鏈進行服務時,會需要簽名,但不一定清楚知道簽名背後的原理,而常見的簽名方式有:eth_sign、personal_sign、eip712_sign 等三種簽章方式,而現階段Metamask 錢包已不支援相對不安全的 eth_sign,但也不代表看似最嚴謹的 eip712_sign 就安全無虞;譬如你從你的 A 地址打錢到項目方的 B 地址,看起來脈絡清晰,但實際上仍有可能連到假合約,當你按下 Sign 這個動作時,意謂存取權已被攻擊者掌控,讓他有機會盜走你的全部資金。


所以 Wolf Chan 提醒,假使你想進入幣圈或使用區塊鏈服務的同時,切記永遠莫相信他人,必須持續驗證對方,保持驗證,絕不要輕易相信眼前的這個網站或服務,就能大幅降低被駭或被盜的風險。


連結來源: https://www.ithome.com.tw/pr/160545

其他訊息