跨站攻擊(XSS, Cross Site Scripting)、資料庫隱碼(SQL Injection)攻擊,在網路世界裡行之有年,也是被攻擊者拿來廣泛應用的網頁攻擊手法,因此一些較有經驗的網站經營單位,也比較知道該如何處理因應這些來自前端的攻擊。不過,其實舊手法也正被研究到新用途上去,Barcode條碼的安全一般很容易被人忽略。
國外有一
網站當中的一篇文章”XSS, SQL Injection and Fuzzing Barcode Cheat Sheet”,便在提醒大家條碼的安全問題,原作者將SQL Injection攻擊時常用的一些字串轉換成條碼,整理成速查表以及製作了產生器-輸入字串即可自動產生因應的條碼,網駭科技技術顧問翁浩正表示,使用者可自行印出該網站列出的有安全疑慮的條碼,如果條碼刷過之後發生錯誤,則代表沒有被防護,如果後端系統有漏洞,則可能會有風險。
敦陽科技資深資安顧問楊伯瀚舉例,像是大賣場的詢價機器,甚至是一些學校的圖書館、上課登記系統等使用barcode的系統,只要有條碼讀取設備,攻擊者有機可趁就可以將這些惡意的字串給讀進去。
雖然該條碼可能無法上傳一隻惡意的木馬程式,但可以達到修改或竊取資料的目的,像是將商品價格更改,買完之後再把價格修改回來,對於賣場來說可能對帳也對不出來,到商場購物也不用出示身分證件,買完就走,可謂神不知鬼不覺。又或是學校生員的資料也可能透過這樣的方法被偷取出來。
在國外其實已有這樣的攻擊案例,但在台灣目前尚未見到相關的手法,不過,即使是發生了,也不見得能夠馬上察覺到,而負責維護倉儲或POS後端系統的IT單位或委外廠商,負責領域主要是著重於後端系統的維護管理,並不見得熟悉這種前端的攻擊手法,實在是不可不誡!