網路資訊/Web安全大戰從未停歇 自我組合再進化

作/羅伯特

Web安全威脅泛指所有使用網際網路進行惡意活動的安全威脅,會經由網路傳送與散播,並傳送其他的安全弱點,不僅現在變得更加氾濫,同時是成長最快速的安全威脅媒介。Web安全威脅的技術很先進,包含了多個元件並產生眾多的變種,又是什麼造成這場大風暴?

根據安全服務供應商Trustwave指出,2011年資料隱碼(SQL Injection)約占整個Web攻擊的7%,看起來似乎有逐漸式微的趨勢。但去年這類型漏洞攻擊威脅的比例,卻大幅躍升至整個Web攻擊的26%,並專門攻擊那些已具備自我保護能力的企業。

Trustwave的資料顯示出許多人們早已熟悉多年的駭客手法:即使是面對能被修補,並加以封鎖之眾所周知的應用程式安全漏洞,仍然有許多企業既未落實執行安全程式編碼措施,同時也沒挖掘其應用程式可能潛藏安全漏洞的定期測試之舉。「這些企業連基本Web安全措施都忽略了,更遑論想要對抗更進階的Web威脅,」Trustwave事件回應與鑑識總監Chris Pogue表示。

在使用者進行像是搜尋、查詢之類的輸入作業時,透過輸入驗證並受限於簡單字串的方式,便能達到簡單防止資料隱碼攻擊的保護作用,但開發人員卻經常無法實現這點,Pogue表示:「這是大學所教的內容之一,假如它已成為大學體系,那麼它也不再是尖端技術了。」

當前網站上存在各類型專門針對粗心大意企業的安全威脅,從耳熟能詳的資料隱碼,以及跨站描述語言(Cross-site scripting, XSS)攻擊,再到由Web scraping與HTML 5等許多功能所形成之更加精緻深奧的安全威脅都有。以下將列出我們認為特別需要注意,同時也是愈來愈受惡意攻擊喜愛,並且常被安全專家及開發人員所忽略的10大Web安全威脅。

一、 更巨大、更精緻的DDoS攻擊

當I T 專家一想到分散式阻斷攻擊(Distributed Denial-of-Service, DDoS),隨即會在腦海浮現出該攻擊的最基本型態:有如洪水般的流量淹沒受害者的網路,致使有效請求全被阻擋。但透過防禦上的不斷改進,讓攻擊者被迫改變其既有的攻擊方式。

於是乎,封包洪流變得更大,且最大可達100Gbps的地步。在長達6個月對美國銀行機構展開的攻擊活動中,據報導是由穆斯林駭客集團所為,其攻擊封包量皆超過30Gbps的程度,這樣的攻擊速率為過去5年來極少見的狀況。

根據網域名稱註冊商VeriSign表示,惡意攻擊者也將攻擊矛頭指向基礎設施的其他部分,像是公司網域名稱服務(DNS)伺服器也成為攻擊者的最愛。當惡意攻擊者攻垮DNS伺服器,企業客戶便無法存取該公司服務。「這與企業擁有多大資料中心容量無關,重點在於所有資料中心將無法接收到任何請求,」VeriSign網路智慧與可用性部門科技副總Sean Leach表示。

巨量DDoS攻擊通常會採取「低速」(Low and Slow)攻擊手法來自我掩飾,並以控管像是SSL通訊等特定服務的Web應用或設備為鎖定對象,然後再透過特製惡意請求,將這些應用與設備的運算與記憶體資源快速地消耗殆盡;這類應用層攻擊約占當前所有攻擊的1/4。

「如果說巨量DDoS 就像是拿到更大棍棒的原始人,那麼低速攻擊就如同變得更加聰明的進化原始人, 」網際網路安全公司CloudFlare執行長Matthew Prince 表示。

攻擊者一開始會確認目標網站的URL,接著會對該網站後端資料庫進行呼叫。藉由對網站頁面的頻繁呼叫,便能快速耗盡網站資源,雲端內容遞送服務(CDN)供應商Akamai Technologies安全產品副總John Summers指出:「攻擊者今年所展現的目標式攻擊能力,比起2011年還要好。可以看出攻擊者莫不透過偵察,做足功課。」

對於企業而言,在惡意流量來襲時,透過安全設備來阻擋的做法很難發揮什麼效果,這是因為路由器在低速攻擊下根本撐不住,這類攻擊似乎也能穿過雲端DDoS減緩服務的防護網。所以企業應該採取混合式的安全防護做法,亦即結合Web應用防火牆(WAF)、網路安全設備與CDN來建立多層次防禦體系,進而在攻擊開始之際,便過濾掉所有不安全的流量。

二、 舊版瀏覽器之外掛漏洞

透過瀏覽器漏洞所導致銀行帳號遭詐騙之網路攻擊,造成每年數以百萬美元計的損失,其中最頻繁常見的瀏覽器漏洞,莫過於支援甲骨文Java、Adobe Flash與Adobe Reader的瀏覽器外掛程式。透過漏洞攻擊工具組,能對各種漏洞元件發動各種不同的攻擊,如果公司系統沒有做好最新漏洞修補更新作業,系統將會很快地遭到劫持。
根據防毒方案商Sophos表示,最近出現的某版本熱門黑洞(Blackhoe)入侵工具套件,便支援16種能用來發動不同攻擊的安全漏洞組合,其中包括7個Java瀏覽器外掛漏洞、5個Adobe PDF Reader 外掛漏洞,以及2個Flash漏洞。

此外,依照安全商Webroot所發現之攻擊套件作者在網上的聲明顯示,網路上還有同時囊括Java、PDF、IE與Firefox等各種漏洞攻擊工具的「甜橘」(Sweet Orange)漏洞攻擊套件。Webroot資深安全威脅研究人員Grayson Milbourne表示:「透過這類攻擊套件,可以精準辨識出人們所使用瀏覽器中,有哪些尚未修補的安全漏洞。」

※本文版權所有,非經授權,不得轉載。[ ETtoday著作權聲明 ]

蕭敬騰《以後別做朋友》搶麥成功XDD 周興哲現身《聲林2》一走出來...全場嚇瘋

3C家電熱門新聞

9月20日開賣!iPhone ..

新iPhone該不該買?3C達..

蘋果12年首次 iPhone新..

iPhone 11巨雷!她崩潰..

3款iPhone 11系列全新..

iPhone各地價格曝光 日本..

iPhone 11價格親民 網..

iPhone「危險設定」要關閉..

陸爆購iPhone 11 一分..

更新iOS 13前你應該做哪些..

疑似iPhone 11 Pro..

Chrome打字「被消失」bu..

果粉死守「3年前神機」 網推經..

iPhone新預測 郭明錤:不..

相關新聞

讀者迴響

熱門新聞

最夯影音

更多

熱門快報

回到最上面