揭發應用軟體階層駭客入侵的十大技巧

| | | | |

    

應用軟體所揭露的網路安全漏洞並不會像 電子郵件病毒如 SirCam 或者 寄生蟲式的病毒如 Code Red 一樣名傳千里，不過它們同樣能夠製造很多問題，上至竊取商品或機密資訊，下至把整個網站搞垮。想要維護網站的網路安全已非易事，然而，不幸的是，要想利用應用軟體層級來做網路入侵的駭客動作卻是十分的簡單。

通常一個駭客會花幾個鐘頭，去了解一個網站應用軟體，藉著把自己當作程式工程師，想像如果是他自己開發這套軟體的話，會有哪些捷徑是有可能被不當利用的。最後，只要透過一個簡單的網頁瀏覽器，這位駭客就可以以不當的方式，與應用程式以及它底下的基礎架構做互動，導致各種大大小小、程度不一的損害。

要想避免這些問題，一個公司必須搶先發現它自己網站的安全漏洞，然後迅速把這些駭客可以利用的機會大門關起來。這篇專欄會提供幾個最容易被駭客用來從事破壞的最常見的網站弱點。

找到問題的核心

由 Sanctum 主持的安全審查，共檢視了 100 個重要網站，在模擬駭客攻擊的過程中發現，其中超過百分之 97 的網站都有重大的應用程式階層的網路安全問題，有可能在數小時之內就被網路駭客充分利用。Sanctum 所執行的審查行動，通常被稱為合乎道德的駭客行為（ethical hack）因為這是由客戶請求並授權 Sanctum 而去入侵他們的網站，藉由模仿一般駭客會做的網路入侵行為：亦即在公司的防火牆以及網路之外，透過網頁瀏覽器入侵網站。

在 Sanctum 的自動網站應用軟體安全漏洞評估工具程式，AppScan，的輔助之下，審查軟體搜尋一整個網站，找出該網站的應用程式網路安全方針，辨認出該目標網站的已知以及未知的網路安全漏洞，並模仿駭客，利用此安全漏洞且攻擊該網站。攻擊是否成功以及每個網路安全漏洞的嚴重性在經過評估後，我們便向公司提出詳細的報告，並且提供如何防治的建議。

Izhar Bar-Gad 是 Sanctum 公司的資訊長。在加入 Sanctum 團隊以前，他在以色列的 Amdocs 公司的基礎建設和研發小組當專案組長。在以色列國防部服役的時候，Bar-Gad 是網際網路安全防範單位的一員，曾負責一個通訊安全的軟體設計大型專案。  繼續閱讀： 常見的十大盲點>>