歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
[防疫宅經濟] 抵擋駭客攻擊、保護網路交易安全
2020 / 06 / 04
安華聯網科技 (Onward Security)
從2020年2月開始,因為COVID-19疫情的影響,市場上吹起一股宅經濟旋風,人們對於電商平台與影音串流平台的使用率大幅增加。但線上交易網站或平台可能潛藏許多資訊安全問題。早在2016年,資安研究人員就曾向Uber通報安全漏洞,攻擊者能藉由暴力猜測,取得有使用次數限制且價值在五千至二萬五千美元的Uber折扣優惠碼。因此,線上交易網站從會員註冊(填寫個人資料)、登入到購買付費的過程中,若是網站存在安全弱點,便有可能遭惡意的攻擊者盜用,或是竊取個人與財務資料等重要資訊。
OWASP(The Open Web Application Security Project)是一個非營利組織,早期以研究、發佈網站應用程式安全為主,所提出的OWASP Top 10更是業界相當具參考性的指南。有些提供線上交易的系統平台,由於本身就存在弱點,像是知名電商平台Magento、Joomla套件和Wordpress套件,都曾被發現,存在著可被竊取資料庫資訊的SQL injection漏洞,而SQL injection便屬於OWASP TOP 10中,排名第一的資安風險:注入攻擊(Injection) 。
上述的Uber案例,攻擊者可透過不斷地重複猜測,取得折扣優惠碼的漏洞,便是屬於OWASP TOP 10中,排名第二的資安風險:無效的身分驗證(Broken Authentication)。網站開發人員可將認證機制改為多重認證(MFA)機制,例如在可能被攻擊的頁面新增reCAPTCHA v3的防禦機制,將絕大多數的自動化攻擊程式無效化,或是加入帳戶鎖定機制,限制在一段時間內,使用者能輸入的次數,若使用者超過此次數,則需等待一段時間後才能再次登入操作。
然而,當今網站往往宣稱使用了安全加密通道(HTTPS),因此不會存在安全漏洞,但其實這僅僅避免OWASP TOP 10中,排名第三的資安風險:機敏資訊外洩(Sensitive Data Exposure),透過安全加密連線,避免攻擊者中間人攻擊(Man-in-the-middle attack)、竊聽使用者的流量,取得帳號、密碼及信用卡號,但卻無法解決上述無效的身分驗證問題。
除了上述實際案例與OWASP常見的攻擊手法,會導致線上交易的安全問題之外,近年來攻擊者經常使用分散式阻斷服務攻擊(Distributed Denial of Service Attack),嘗試癱換目標網站,導致使用者無法連線到該網站,造成服務中斷與財務上的損失。在2017年初時,全台許多提供線上下單的證券商都分別收到來自駭客的勒索信件,收到恐嚇信的券商們立即向金管會報案,而在收到信的同一時段,部分券商也遭到駭客發動試探性DDoS攻擊,造成部分交易停擺。在駭客的信中表明,若不付款就會遭到後續的DDoS攻擊,在駭客的恐嚇下,有些中小型券商怕線上交易系統遭殃,就私下付款給駭客;但還是有不少證券商遭受到DDoS攻擊;因此,建立DDoS防禦與應變作業程序,並且每年辦理DDoS攻擊應變演練,才可有效降低遭受DDoS攻擊影響的時間與傷害。
安華聯網資安團隊
建議:
為保護使用者個資與線上交易網站能正常營運,線上交易網站的經營企業需定期執行滲透測試與DDoS演練,確保現行的資安防護機制能正確運作,以阻擋攻擊者的攻擊行為。
安華聯網資安團隊
服務特色:
(1) 可模擬真實駭客攻擊,能同時實際控制超過1,000台來自全球不同34個國家的主機進行DDoS攻擊,同時執行多種第四層與第七層網路攻擊手法,並且根據客戶的需求設計自定義執行時間長度、流量大小、連線數數量及封包內容,最高可達到同一時間500G到1T的流量。無論是驗證系統對於DDoS攻擊的承載程度,或者是進行使用者連線數的壓力測試。
(2) 提供客戶最完整的網站安全檢測服務,解決各種客戶所面臨到的資安需求。
安華聯網
公司簡介
安華聯網是連網產品資安合規解決方案的國際領導廠商,成立於2014年,除具備國際級的實驗室外,更自主開發自動化AI資安評估產品,擁有多國專利與國際獎項,可提供政府單位、IoT/IIoT設備商、金融、電信等產業客戶取得資安認證,並發掘潛在的資安威脅與弱點,保障重要資訊或產品安全,符合資安法規及產業標準的要求。
https://www.onwardsecurity.com/
安華聯網
資安
弱掃
檢測
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
Microchip ASF 重大資安漏洞,物聯網設備恐遭遠端攻擊
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
Whoscall:三成台灣人遇到詐騙後一小時內受騙
NVIDIA Container Toolkit嚴重漏洞允許完全主機接管
RISC-V 新興晶片架構引發資安疑慮
資安人科技網
文章推薦
趨勢科技:裝置與帳號為高風險資產
VicOne 通過TISAX AL3汽車工業資訊安全最高等級認證
Zoom 推出全新企業進階解決方案,助企業打造高效安全的營運環境