首頁 > 資安知識庫 > 駭客攻防與惡意程式威脅 > 惡意程式、病毒與木馬

[防疫宅經濟] 抵擋駭客攻擊、保護網路交易安全

作者:安華聯網科技 (Onward Security) -2020 / 06 / 04 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
從2020年2月開始,因為COVID-19疫情的影響,市場上吹起一股宅經濟旋風,人們對於電商平台與影音串流平台的使用率大幅增加。但線上交易網站或平台可能潛藏許多資訊安全問題。早在2016年,資安研究人員就曾向Uber通報安全漏洞,攻擊者能藉由暴力猜測,取得有使用次數限制且價值在五千至二萬五千美元的Uber折扣優惠碼。因此,線上交易網站從會員註冊(填寫個人資料)、登入到購買付費的過程中,若是網站存在安全弱點,便有可能遭惡意的攻擊者盜用,或是竊取個人與財務資料等重要資訊。
 
OWASP(The Open Web Application Security Project)是一個非營利組織,早期以研究、發佈網站應用程式安全為主,所提出的OWASP Top 10更是業界相當具參考性的指南。有些提供線上交易的系統平台,由於本身就存在弱點,像是知名電商平台Magento、Joomla套件和Wordpress套件,都曾被發現,存在著可被竊取資料庫資訊的SQL injection漏洞,而SQL injection便屬於OWASP TOP 10中,排名第一的資安風險:注入攻擊(Injection) 。

上述的Uber案例,攻擊者可透過不斷地重複猜測,取得折扣優惠碼的漏洞,便是屬於OWASP TOP 10中,排名第二的資安風險:無效的身分驗證(Broken Authentication)。網站開發人員可將認證機制改為多重認證(MFA)機制,例如在可能被攻擊的頁面新增reCAPTCHA v3的防禦機制,將絕大多數的自動化攻擊程式無效化,或是加入帳戶鎖定機制,限制在一段時間內,使用者能輸入的次數,若使用者超過此次數,則需等待一段時間後才能再次登入操作。


然而,當今網站往往宣稱使用了安全加密通道(HTTPS),因此不會存在安全漏洞,但其實這僅僅避免OWASP TOP 10中,排名第三的資安風險:機敏資訊外洩(Sensitive Data Exposure),透過安全加密連線,避免攻擊者中間人攻擊(Man-in-the-middle attack)、竊聽使用者的流量,取得帳號、密碼及信用卡號,但卻無法解決上述無效的身分驗證問題。 
1
推薦此文章
18
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…