OWASP(Open Web Application SecurityProject)於2009年11月間公布了2010年OWASP Top 10 RC1(release candidate)版本,相較於2007年OWASP Top 10版本,做了部分的修正,以符合現時網站攻擊的趨勢,透過這份新版本的文件,我們也可以觀察到駭客針對網站攻擊趨勢的變遷。
前10大非指常見威脅 需考量可能性、影響程度
在2010初版OWASP Top 10釋出文件中,我們可以發現有2項安全威脅被剔除在榜外,分別是原先第3名的惡意檔案執行(MaliciousFile Execution)與第6名的資訊洩漏與不當錯誤處理(Information Leakage and Improper ErrorHandling);退出榜外的攻擊並不代表不重要了或是已經銷聲匿跡,事實上,在這份文件中的發佈說明部份也明確告知了所謂的Top10指的是前10大安全風險,是需考量發生的可能性與造成影響程度,而並非前10大常見的安全性弱點(僅考量發生的可能性)。
以惡意檔案執行來說,目前仍是常見的安全性弱點,由於PHP目前已提昇了許多的預設安全性,預期將可有效降低此一安全性風險,但對於尚未更新版本與程式開發觀念的開發人員,仍可能造成一定程度的安全威脅;而資訊洩漏與不當錯誤處理的問題目前依舊十分普遍,但因為所造成的影響與傷害相對較為輕微,所以本次被排除在新版10大安全風險之外,值得留意的是,此一安全風險往往提供給駭客許多的有用參考資訊,協助駭客進一步進行攻擊與利用,仍然不可輕忽。而取代上述2項安全風險的是新進榜的網站安全組態不當設定(Security Misconfiguration)與未驗證的網頁重新導向(UnvalidatedRedirects and Forwards)。
OWASP 2010快速導讀
當然新進榜的攻擊手法也不代表是全新的攻擊手法,以下我們將逐一做個導讀,方便快速讓各位了解新版的OWASP Top 10網站安全風險:
【1】Injection:
注入攻擊,常見的有SQL Injection、LDAPInjection、Command Injection等注入攻擊手法,目前仍以SQL Injection為最常見攻擊,發生的主因是網頁程式中未檢驗使用者的輸入值,讓攻擊者可以藉由輸入指令的方式來對後端的資料庫等系統進行查詢或其他操作。雖然這種攻擊手法已經出現10年以上了,但攻擊情況仍舊十分嚴重,近年來透過編碼等各種變形手法,更常常在短時間內大量造成許多嚴重的網站攻擊事件。
【2】Cross Site Scripting(XSS):
跨站腳本攻擊,可說是目前存在最普遍的安全性弱點之一,發生主因是網頁程式中未檢驗使用者的輸入值,讓攻擊者可以藉由輸入網頁語法來達到攻擊目的;相較於注入攻擊會對系統造成直接的影響,跨站腳本攻擊則是對瀏覽網站的使用者造成影響,比較類似隔山打牛的間接式攻擊手法。但也由於較少直接對網站系統造成影響,因此常被管理者忽略,導致許多知名網站,甚至是資訊安全相關網站目前仍常被發現具有此一弱點。
http://xssed.com/網站提供了XSS弱點的提報與查詢功能,有興趣的讀者可連至該網站查詢自己管理的單位是否曾被提報過XSS弱點。
【3】Broken Authentication and Session Management:
遭破壞的鑑別與連線管理,主要是指網站中自行開發的身分驗證與連線管理等功能具有安全性上的缺失,讓攻擊者可以冒用特定或全部使用者的身分與權限進行操作,若遭到冒用的使用者為管理者或具特殊權限的使用者,將造成更大的危害。
近年來最嚴重的案例大概是2009年1月間被揭露的Yahoo帳號安全性問題,攻擊者藉由破解Yahoo的cookie演算法,可以偽冒任意使用者進行登入;這類型的安全弱點一旦發生在大型入口網站、電子商務網站或網站系統套件時,造成的傷害與影響往往是十分可觀的。
【4】Insecure Direct Object Reference:
不安全的物件參考,定義上是攻擊者透過修改應用程式提供的檔案讀取功能參數,任意存取並未對外公開的重要檔案與目錄,在手法上也屬於一種未驗證輸入值(Unvalidated Input)的攻擊手法。而在實務上,除了透過這種目錄遊走(Directory T r a v e r s a l )的方式以外,強迫目錄瀏覽( F o r c e f u l Browsing)也常可以達到類似的攻擊效果,並可搭配Google搜尋引擎進行特定關鍵字檢索來快速找出網路上具有目錄結構洩漏問題的網站。
【5】Cross Site Request Forgery(CSRF):
跨網站冒名請求,屬於廣義跨站腳本攻擊(XSS)的一種,也常搭配一般的XSS弱點發動攻擊。當使用者已經登入系統服務的情況下,常可透過某些連結或指令碼進行系統操作,或修改系統設定;這時惡意的攻擊者只要在惡意的網站中加入這些語法,當不知情的使用者在維持登入的狀態時不小心瀏覽到惡意攻擊者的網站,就會執行到攻擊者所設定的語法,進而修改使用者的系統設定!
關於CSRF弱點,筆者在2008年6月份資安人雜誌上已經撰文描述過,在此就不再贅述;不過值得留意的是,目前十分風行的社交網站,許多都仍存在有嚴重的CSRF漏洞,部分漏洞甚至有被撰寫成蠕蟲發動攻擊的可行性,而且站在使用者的角色,目前仍缺乏有效的防禦方式;關於這部分弱點資訊目前已陸續提交各社交網站處理中,希望能夠盡速獲得回應與修復。
【6】Security Misconfiguration:(新增)
網站安全組態不當設定,其實並非新納入的安全風險,早在2004年版本中就曾名列第十名,到了2007年版本時遭到剔除,在2010版本中又重新被納入,並且躍進到第六名的位置。嚴格來說,這並非應用程式的問題,而是比較偏向管理面的問題;可能使用者未修改預設帳密,或是沒有作必要的安全性更新,或未針對重要的檔案或目錄進行保護…等,都屬於S e c u r i t yMisconfiguration弱點定義的範圍;而搭配google特定關鍵字的檢索,將可讓攻擊者更為快速的找出可能利用的攻擊目標。
【7】Failure to Restrict URL Access:
未適當限制的URL存取,某些網站並未有效定義權限的控管,導致攻擊者可透過修改url路徑或參數,來存取包含有機敏資訊或管理權限的頁面。例如2003年與2007年爆發的信用卡網站資訊洩漏漏洞,就是最典型的案例;另一種更為常見的案例則是允許使用者存取網站後台管理系統,透過google關鍵字的檢索,很容易可以發現目前還是有大量的網站將後台管理系統暴露在網際網路上並開放使用者任意存取,形成潛在的網站安全風險。
【8】Unvalidated Redirects and Forwards:(新增)
未驗證的網頁重新導向,某些網頁程式提供網頁重新導向功能,讓使用者可透過該程式連接到其他網站;但攻擊者可利用這種特性,將惡意或釣魚網站暗藏在網頁重新導向的參數中發送給使用者,讓使用者疏於防範,連接至攻擊者指定的惡意或釣魚網站。在某些特定的情形中,這種攻擊手法甚至可以繞過部分網站的存取控制。
雖然是第一次被納入統計的安全風險,但其實早在2007年之前就已經大量遭垃圾郵件業者進行利用,只是當時多被視為正常網頁程式功能而未加以限制。筆者在2007年底也曾揭露包含Yahoo、MSN、Google與AOL等各大入口網站在內的網頁重新導向漏洞(當時稱為轉址漏洞,並刊載在2008年1月號的資安人雜誌中,所幸目前多已修復。
【9】Insecure CryptographicStorage:
不安全的加密儲存,網頁程式並未對機敏資訊進行加密處理或使用了較脆弱的加密演算法,甚至是將金鑰存放在容易取得的地方。一般而言,攻擊者通常較少直接針對加密進行破解,而是透過其他攻擊方式去存取到後端的機敏資料,若機敏資訊在儲存時並未經過加密處理,將讓攻擊者直接獲得許多有用的機敏資料。以今年陸續爆發的幾件重大個資外洩新聞事件來看,可以發現許多單位仍然使用明文方式儲存密碼與信用卡等機密資料,當駭客一旦攻擊得逞,將可直接取得許多重要的金融與個人資訊,所造成的損失不容小覷,而善後處理的工作也將更為艱難。
【10】Insufficient Transport Layer Protection:
不安全的傳輸防護,當使用者在傳輸機敏資訊時(如:輸入密碼或信用卡號時),若網站未提供安全的傳輸通道,將允許攻擊者進行連線竊聽,竊取使用者傳輸的機敏資訊。
目前許多網站上常見的TWCA台灣網路認證標誌,即是針對網站安全加密等級進行驗證的認證標章,保障使用者在傳輸機敏資訊時能夠不被連線竊聽。
總結4大威脅趨勢
快速瀏覽了新版的OWASP Top 10 RC1文件之後,我們可以簡單歸納出幾項安全趨勢:
1. 未驗證輸入值(Unvalidated Input)仍是最大風險:
我們可以發現許多網頁程式上的安全性弱點都與未驗證使用者的輸入值有關;如果在程式開發過程中,就導入安全程式的寫作觀念,並針對使用者輸入的內容進行過濾與處理,將可阻絕大半的網站安全風險。
2. 大批量攻擊成為主流:
大批量攻擊成為網站攻擊的主流,這與Google的超強搜尋能力顯然有正相關。我們可以發現上面提到的許多安全性弱點,都可以搭配Google搜尋到相關攻擊資訊與攻擊標的,可讓攻擊者快速地將攻擊模式複製到其他攻擊標的,造成地圖兵器式的大規模攻擊效果。除了Google造成的影響之外,目前十分盛行的社交網站未來也可能成為大規模攻擊的標的;透過社交網站,許多認識或不認識的使用者集中在相同的平台上並作互動,一旦這些社交網站被挖掘出安全性弱點,攻擊者將可以快速地利用並影響到大量的使用者;加上社交網站往往允許第三方開發一些方便的小遊戲與小程式,也額外衍生出許多使用者隱私與安全性上的問題。
3. 複合式攻擊:
前面所提到的安全性弱點,除了達到直接攻擊目的外,還可以搭配其他安全性弱點或網站服務,來擴大攻擊的效果。最典型案例大概是Google Attack了!Google Attack約在2004年左右正式被提出,但實際上更早之前便已經開始被駭客應用在攻擊行為上;結合Google強大的搜尋能力,讓攻擊者找尋攻擊標的的速度大幅增加,也大幅提昇攻擊範圍!這對網站管理者而言,無疑是個可怕的夢靨。建議網站管理員可以先連到Google網站管理員工具頁面(http://www.google.com.tw/webmasters/),稍微了解一下關於Google如何檢索網站以及將網站編入索引的資訊,並利用相關工具診斷你網站的檢索問題,再作出對應的管理與設定,來降低遭到Google Attack波及的機率。
4. 技術面與管理面需並重:
這次重新被納入的Security Misconfiguration,除了技術面的安全威脅外,管理面的安全威脅造成的影響一樣不容小覷;技術面的問題除了透過技術解決與修補方案外,還可透過資安管理制度的建立,來做通盤的審視,避免在各個獨立的技術環節中產生的間隙;而資安管理制度的建立,也必須對資安技術具有一定程度的了解,才能有效且妥善地規劃出適合組織的資安管理制度。
過去我們也看到許多資安技術人員與資安管理人員之間的爭論,事實上這兩者其實具有相同目標,若能相輔相成,吸收彼此經驗,建立合作的默契,對於單位整體資安環境才能提供正面的助力。
本文作者為資訊服務廠商資安顧問