文章來源:Ben Huang / 奧登資訊技術顧問
網頁攻擊的挑戰?
隨著資訊的蓬勃發展,駭客針對網頁的攻擊已經是相當常見的手法,OWASP組織每3~4年將公開發佈前10名最易受攻擊的十種網頁攻擊手法(OWASP Top 10),最新一版的十大網頁攻擊手法(2021)如下表所示。
Photo Source : OWASP Top 10
2021 OWASP Top 10 Attack分別為
1. 權限控制失效 (Broken Access Control):
權限控制失效是指訪問控制策略未能將帳號限制設定為預期的權限,容易讓駭客透過這項漏洞,進入企業中查看、修改、洩露、刪除其他帳號和管理員的數據,或是修改帳號和權限,甚至將惡意軟體安裝到系統中。
2. 加密機制失效 (Cryptographic Failures):
加密機制失效又稱敏感資料外洩。意指加密機制的失敗,並且因此而造成敏感性資料外洩或是系統被破壞。
3. 注入式攻擊 (Injection):
注入式攻擊算是相當常見的 Web 攻擊之一,意指駭客將惡意代碼注入系統以啟動未經授權的命令來取得敏感數據,常見如資料庫注入、命令式注入、跨站腳本攻擊。
4. 不安全設計(Insecure Design):
不安全設計意指應用程式設計缺陷相關的風險。在應用程式設計時,並無針對該被保護的內容進行防護措施,進而被有心人士利用。
5. 安全設定缺陷 (Security Misconfiguration):
指系統管理或配置不當導致的安全性弱點。例如:啟用不必要的服務、頁面或帳號,向使用者暴露過多的錯誤資訊。
6. 危險或過救的元件 (Vulnerable and Outdated Components):
指使用已不支援更新或具已知弱點的元件、未定期執行掃描及更新、,或未針對更新的程式做相容測試等,可能成為被惡意利用的漏洞。
7. 認證及驗證機制失效 (Identification and Authentication Failures):
指使用者的身分、認證、session管理等存在漏洞。例如:登入口可被暴力破解或其他自動化攻擊,使用預設或常見的弱密碼被輕易破解等。
8. 軟體及資料完整性失效 (Software and Data Integrity Failures):
由於應用程式缺乏完整性驗證之功能,導致資料被竄改。例如:程式碼遭植入惡意程式碼、接收來自不安全的來源之資料等。
9. 資安紀錄及監控失效 (Security Logging and Monitoring Failures):
指應稽核紀錄的事件未記錄,或於警告及錯誤發生時,未產生明確的日誌紀錄等。可能造成在資安事件發生時,讓事件難以被察覺或調查。
10. 伺服器請求偽造 (Server-Side Request Forgery):
當網站應用程式在取得遠端資源時,卻驗證使用者提供的資料,此時就有機會發生偽造伺服端請求。
Citrix NetScaler WAF Infrastructure
Photo Source : Odin
Citrix WAF架構解析
1. 企業導入Citrix ADC WAF的服務。
2. 啟用WAF功能並指定須防護的企業公開網頁。
3. 當駭客訪問企業公開網頁,並執行惡意行為。
4. ADC WAF即將駭客重導向至其他頁面,或者提交錯誤資訊給於駭客。
Photo Source : Odin
透過導入Citrix WAF 不但替企業的網頁提升一層防護,甚至可針對機敏資料進行遮蔽(如信用卡),外部攻擊及觸發過程也都可透過ADM的報表軟體進行紀錄,Citrix WAF將是任一企業必不可少的資安解決方案。
Kommentare