陳宛綺
根據許多研究單位統計,企業 Web 的資安問題已經開始發酵,日前連總統府網頁都可以遭到駭客入侵,更遑論企業的網頁也隨時都可能被攻擊?F5 應用安全方案所提供的防護能力,已經遠超過多數的防火牆或是入侵偵測/防禦系統等。透過此一研討會,與會者除了瞭解駭客最新的攻擊手法,也瞭解部署 WAF 的最佳對策。
過去一年,可以清楚發現,駭客的攻擊已從網路、伺服器,更深入到網站應用程式,進而破壞或竊取資料庫資料,造成企業龐大損失。
國立空中大學管理與資訊學系郭秋田博士在此研討會中,即以「網站駭客攻防現形記」為題的演講中提到,目前網站系統應用普及,小至留言板、討論區、會員制網站,大至購物網站、線上訂位訂房都會使用到網站應用服務,這也讓駭客要入侵網站的後端系統有了更多的管道,根據 OWASP 的統計,SQL Injection 、 XSS 等都是普遍常見的攻擊手法。
郭秋田進一步解釋,所謂的 SQL Injection(資料隱碼攻擊)是駭客於任何要求輸入資料時打入特殊指令或程式碼,讓破壞性程式碼「隱藏」在標準的 SQL 程式中,達到其攻擊目的。郭秋田舉例,一般系統登入的語法如下:
「SELECT * FROM Users WHERE
UserName=’tony’ AND Password= ‘sql‘」
然而被攻擊後的語法則會變成以下的情況:
「SELECT * FROM Users WHERE
UserName=’hack’or 1=1 —
AND Password= ‘who care’」
而進階的資料隱碼攻擊,則可以讓駭客有能力在主機中建立帳號,具備作業系統帳號,提升為管理者權限,或是具備資料庫系統帳號,以提升為資料庫管理權限。
而所謂的跨站腳本攻擊 (XSS),郭秋田解釋,駭客同樣也是透過表單輸入時植入腳本 (Script) 指令,攻擊者通常會經過簡易測試,例如使用簡單的 HTML 標籤,如:
「<b>(粗體),<i>(斜體) 或<u>(底線)」
又或是簡單 script 標籤,如:
「<script>alert(“OK”)</script>」
郭秋田表示,上述這 2 種攻擊模式都是簡單、有效率,且能獲得最大利益的手法。為何說入侵的效益大呢?因為駭客可以獲取後端資料庫資料,也能夠取得系統管理權限,甚至是進行網站掛馬。但對於企業來說,防護上卻是相當困難,因為多數網站先天不足後天失調,加上發現弱點不易,要消除弱點更是困難。
郭秋田指出,目前大多數的網站應用程式普遍存在 SQL Injection 、 XSS 弱點,因為程式撰寫資安能力不足,隱含弱點,加上缺乏檢測工具協助,無法得知問題所在,若是前端缺乏防護,Web 應用程式安全稱得上是岌岌可危。
因此郭秋田建議企業對於 Web 應用程式安全縱深防禦,應該要進行網外攻擊(黑箱測試)與原始碼檢測(白箱測試)。
郭秋田表示,Web 應用程式安全已經是一般網站的共同問題,包括弱點存在且數量眾多、系統多為委外開發、偵測撰寫不當的程式碼和修正均為耗時費力的工作,因此建議,善用有效的檢測工具找出問題,或透過專業顧問協助問題改善,又或是使用網站應用程式防火牆 (WAF) 。
而目前 WAF 的模式主要分為獨立的機架式設備,以及注入網頁伺服器的模組,企業在導入之時,應該要注意規則建立與維護的複雜度,以及相關的效能數據(如連線數目、 CPU/記憶體的資源消耗等)。
雖然 Web 應用程式安全問題已經越來越嚴重,但是有些人對於 WAF 的功能仍有些陌生。 F5 臺灣區技術經理林志斌表示,駭客通常可以透過簡單的測試或是攻擊手法(如 SQL Injection 、 XSS),即可以獲取許多網站後端(包括 Web Application Server)的相關資料,然而,市面上一般的防火牆無法辨識應用層 (L7) 的封包內容,無法阻擋針對網頁應用程式的攻擊;而 F5 的 BIG-IP Application SecurityManager(ASM) 則可將未經驗證許可的網路流量,阻擋在公司安全界線以外。
林志斌表示, A S M 已內建事先定義的政策 T e m p l a t e , 以及可自動化學習的「P o l i c yBuilder」,因此在佈署上相當簡單。並且能夠防止第 7 層的 DoS/DDos 攻擊與暴力攻擊 (Brute Force) 手法。 ASM 還具備了應用程式的可視性 (visibility) 與完整的報表,讓管理人員可以快速找出造成服務延遲的瓶頸在哪裡,並解決之;而完整的報表則可以協助網管人員、程式開發人員與資安人員瞭解到企業目前究竟遭受到哪些攻擊。
除此之外,ASM 也可以協助企業做好資料保護,避免讓含有信用卡資料、身分證字號等資料外洩,也可以與弱點掃描工具進行整合,如 HP 、 White hat 等。林志斌表示,ASM 也支援多種的部署模式,包括在線模式 (Inline Mode) 、代理器模式 (Proxy Mode),以及 Out of band 模式,企業可以依照需求選擇部署模式。
F 5 香港暨臺灣區技術總監莊龍源則在此研討會當中進行了實際的 Demo,讓與會者瞭解 ASM 如何能夠有效防止 S Q L I n j e c t i o n 、參數竄改 (Parameter Tampering) 等攻擊,以及在部署與設定上的快速,顯現 ASM 在有效性 (Availability) 、加速 (Acceleration),與安全 (Security) 等三方面的能力。