簡單卻要緊的幾個步驟,讓您的IIS伺服器更加安全
善用雲端的便利,保護企業雲端資料的一切安全
討論區、留言版,網站正暴露,在XSS風險中,您知道嗎?
電商利益驚人,卻已成駭客眼中肥羊,保障電商安全是當務之急
不安全的網站越來越多,駭客虎視眈眈您網路上的一切資料
從事網路交易,必須重視信用卡安全,保障交易安全
別把安全視為理所當然,正確設定Apache伺服器
沒時間檢測程式,又想要符合PCI DSS,標準規範?就裝WAF吧
一直以來,微軟產品給人的印象就是不如同業的那樣安全。尤其是微軟IIS伺服器,微軟把許多IIS功能預設為開啟的狀態,導致衍生不少安全性的問題。
不用複雜繁瑣的設置步驟,IIS伺服器很快就能設定完成,讓網站上線運行。因此,不少使用IIS的網站管理員安裝完畢後,懶得多設定幾個步驟確保他的網站程式安全。駭客就是看準這一點,入侵伺服器及網站。
越來越多的駭客針對網站程式進行攻擊,所以微軟很努力的提升所有產品的安全性,當然包含IIS伺服器在內。第6版IIS伺服器中,微軟將許多功能的預設狀態改成關閉。第7版中,微軟盡可能減少安裝步驟,減少預設安裝的元件數量,降低駭客嘗試攻擊的可能性。
雖然微軟大幅改善IIS7的安全性,但是把IIS7當作網站伺服器仍有許多需注意的風險。記住!微軟是以讓網站管理員便於操作為導向,而非網站安全性。現在可以透過瀏覽器操作IIS伺服器,因此導致風險性大增
利用Windows系統,可以簡單地完成安裝WordPress、Joomla或ZenCart這一類程式,但同時也帶來風險。網站管理員對於程式的風險漏洞沒有一絲警覺性時,一不小心,可能把危險軟體裝到伺服器上。當然,還是可以透過下指令的方式或GNU / Linux shell安裝應用程式。但管理員能善用這些工具時,他們對於基本安全風險會更有警覺。
許多網站管理員仍對紅色代碼病毒(Code Red)以及Nimda蠕蟲對於IIS伺服器造成的傷害記憶猶新。當時駭客透過DDoS攻擊及路徑探索(path traversal)等方式,任意竄改網站或攻擊網站。
由於微軟樹大招風,永遠是惡意軟體攻擊的目標之一。即使微軟的工程師盡心盡力修補已知漏洞,但數以千計的惡意軟體仍在外散布,對微軟伺服器造成極大的威脅。
如同其他伺服器一樣,必須採取某些步驟強化IIS伺服器的安全性。雖然防禦惡意軟體、入侵檢測/防禦系統、網路防火牆,和其他工具和技術可以防禦部分的攻擊,卻無法充分抵抗由已安裝的第三方軟體所發動的攻擊。
路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes)DDoS攻擊 / 伺服器入侵
透過執行SaaS(Security-as-a-Service)解決方案,無論網站管理員功力厲害與否,WAF能為網站伺服器提供保護,為網站程式避免掉許多威脅。透過檢測分析網站流量內容,確認是否符合或違反通訊協議、port或IP,避免網站程式被攻擊。WAF能提供優化後的防禦服務,防禦DDoS攻擊、XSS跨站攻擊、SQL Injection、path traversal以及其他網站攻擊技術。
抵禦過去已知和最近新興的駭客攻擊手法
提供最佳化即時防禦的預設安全規範
提供管理界面及API,輕鬆管理多台服務器
不需另外增購硬體設備,且能彈性擴充
每年因為網路犯罪造成的損失高達數億美元。比起損失的金錢和遭竊的資料,企業應該更在乎名譽受損帶來的傷害。當網站出現漏洞時,用戶或者訪客就會開始質疑網站的安全性。而且如果搜尋引擎在網站上發現惡意軟體或垃圾信件時,就會把網站標示為惡意網站,將網站從搜尋結果中刪除,導致網站合法流量大幅下降。
現在已經有越來越多的企業開始了解雲端運算所帶來的企業優勢:
雖然雲端運算對企業來說非常具有優勢,但也不少專家指出,雲端仍需要考慮安全性的問題。雲端運算的潛在風險:
選擇將企業資料移到雲端上,表示你需要非常信任你的主機商。基本上,他們算是監控你所有的網路資料。如果主機商無法為客戶提供充足的資訊安全防護的話,駭客攻擊便會蜂擁而至。SQL Injection攻擊、盜用伺服器、session hijacking(會話劫持)等攻擊手法都將導致你的企業資料暴露在他人的監控之下。
許多企業已經把網站程式視為不可或缺的一部分。將網站搬到雲端上,必須更加嚴格監控管理這些程式。雲端雖然便利,安全卻更加重要。當主機服務商進行必要的軟體更新時,並不會幫你們家檢視程式碼的潛藏漏洞,確保企業資料是否安全,或者程式能否抵禦XSS跨站攻擊之類的入侵。
雲端的本質就是資源共享的概念。雲端安全的概念跟傳統的資訊安全大不相同。例如使用Amazon的網站服務時,你會發現無法檢查LOG或是使用流量監測和入侵監控系統等部屬工具。甚至部分主機商的服務條款禁止進行網站漏洞掃描,更別說進行原始碼檢測了。如果你的網站必須合乎PCI標準規範的話,還是乖乖裝WAF吧
雖然藉由雲端運算跑資料執行程式有一定程度的安全疑慮,然而Google、IBM、Amazon及IT大廠強力推動健康照護以及電子商務等雲端服務,意味著這些安全疑慮是未來雲端發展不得不克服的問題。
部屬WAF便是保護網站程式及資料的一種方式,雲端服務商不需額外增添硬體設備,可以安裝在網站程式前面提供保護。
當部屬完成,WAF即可為網站程式抵禦以下已知的威脅:
路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes) / DDoS攻擊 / 伺服器入侵
WAF也能深入執行傳統的安全檢測,例如深度檢測網站服務的流量分析,而這種威脅卻是入侵檢測系統和入侵預防系統常常疏忽掉的。
不少企業縮減IT部門規模,雲端計算這類能有效縮減成本的服務,越來越受企業歡迎。雖然主機商提供雲端管理服務,企業仍必須合乎安全規範。為了符合PCI DSS標準規範、HIPAA、SOX及其他標準安全規範,資訊的安全性便是企業決定是否移到雲端的考慮點之一
XSS(Cross-site scripting) 跨站攻擊是利用網站的漏洞,讓使用者在瀏覽網頁時,不知情的情況下執行了駭客植入的惡意程式。XSS跨站攻擊,不需要太高深的技術就能做到,所以名列駭客攻擊的常見手法之一,也是網站常見的漏洞之一。
比較常見XSS攻擊的例子,如討論區、留言版或任何能輸入資料的地方,允許使用者輸入HTML、JavaScript,並且正常解析執行。當其他使用者瀏覽這篇留言時,便會執行惡意程式。
而且XSS跨站攻擊,是在資料加密前開始執行的。所以裝SSL,對於XSS跨站攻擊是沒有防禦作用的。任何的網站伺服器或應用程式伺服器,都容易受到XSS跨站攻擊
正如上面所說的,XSS跨站攻擊容易得手。如果網站沒有任何防禦措施的話,就容易遭受以下攻擊:
結合其他入侵手法,竊取網站用戶的帳號和密碼
跟蹤特定使用者,追蹤其瀏覽行為,侵犯個人隱私
濫用伺服器以及頻寬等網路資源
透過瀏覽器,使你的電腦變成駭客控制的殭屍電腦之一
竊取網站資料或者是網站內容
任意修改或者破壞你的網站內容
WAF監測網站流量,並確認網路是否暴露在XSS跨站攻擊或其他風險當中。WAF安裝完成後,即可立即生效。並針對XSS跨站攻擊、SQL Injection、path traversal及其他網站攻擊方式,提供優化防禦。
簡單就能安裝在Apache和IIS伺服器上
針對已知或新興的駭客手法進行防禦
針對即時防禦,預設最佳化的安全規範
提供介面及API,便於管理多台伺服器
無需額外的硬體設備,隨業務規模彈性擴充
攻陷網站前,駭客必須找到能利用XSS跨站攻擊的程式漏洞。不幸的是,多數的網站程式是利用免費開源軟體或商業軟體改寫而成,容易受到攻擊。駭客只需要透過Google搜尋,幾分鐘內即可找到數以千計使用這些軟體的網站。一旦發現網站,駭客就立即展開入侵。
一旦決定攻擊目標,駭客會開始編寫惡意程式。常見的手法有三種:
當惡意程式被放入目標伺服器後,例如公布欄、訪客記錄、或留言板,訪客就會在無意間執行了惡意程式
訪客被誘導點擊惡意連結或是填寫某個網站表格,程式被導向已經受感染的網站伺服器,並反過頭來發送請求給訪客的瀏覽器。而瀏覽器會認為這些請求是來自受信任的伺服器,執行這些惡意程式
這種攻擊script是基於處立並查詢同一頁面的DOM(document object model)。透過遠端執行這類型的攻擊,駭客能在受害者的電腦上執行惡意程式
當惡意程式被放在有漏洞的網站上之後,駭客就等著收割成果了。
如果駭客目的是竊取用戶的身分驗證,帳號密碼就會輕易到手。如果目標是輸入紀錄的話,駭客就會從受害者拿到輸入紀錄。如果目的是在網站中植入惡意連結,就會看到更大的流量以及更多的搜尋流量導到這個網站來。一旦得逞,駭客便會在其他網站上如法炮製。
XSS跨站攻擊不僅造成企業資料被竊,也使企業的聲譽受損。
受到攻擊的企業,都是想要打造一個受人信任的網站,努力的向使用者傳遞內容、服務及產品。卻發現因為一次的駭客攻擊,失去忠實客戶對他們的信任。當一個無辜的使用者發現個資外洩或者電腦受到感染,即使你再三保證網站的安全性,他們都會對於再次造訪你的網站猶豫半天。
即使你事後修復了網站漏洞,但卻已經被Google和其他搜尋引擎列為危險網站了。把時間和精力浪費在恢復搜尋結果上的名聲,額外支出的成本是絕多數網站擁有者所沒有計算到的。
不是只有XSS跨站攻擊會造成威脅,結合其他手法像是SQL injections、path traversal、DDoS攻擊及緩衝區溢出等,都需要網站擁有者或網站管理員提高警覺防範。
網路交易越來越興盛,透過Zen Cart、Open Cart、Magento等開放原始碼程式,架設一個購物網站快速又簡單。越來越多的企業透過架設網站銷售他們的產品及服務。
利用上述程式,或是請人幫你寫購物車程式,不需要太專業或高深的知識,就可以在網路開店做生意,輕易取得客戶的信用卡資料。由於電子商務的利益龐大驚人,購物網站自然成了駭客眼中的肥羊,覬覦裡面的信用卡及客戶資料。基於以上理由,購物網站必須要考慮到網站程式的安全性。
經過多年以來,電子商務的安全性已經獲得大幅度的改善。讓客戶更加信任網路,願意在網路上花錢消費。每年成長的網路購物金額證明了消費者認為網路購物是安全的。但對企業來說,駭客要入侵他們的網站程式也更加方便了。
駭客利用僵屍電腦對無辜的網站發動攻擊,藉此竊取信用卡資料。信用卡資料安全性對於電子商務來說格外的重要。著名的TJX事件,便是公司沒有採取安全措施的最佳例子,導致9400萬個帳戶遭到入侵,TJX公司被300家以上的銀行聯合訴訟,賠償金額超過70億美金。駭客落網後,發現他透過SQL Injection技術,在各個網站竊取了超過130萬張信用卡資料。
常見竊取金融資料的駭客手法:
SQL Injection / XSS跨站攻擊 / Path Traversal
Session Hijacking(會話劫持) / 惡意軟體(Drive-by downloads)
也許是對手惡意攻擊你的企業,或是一名駭客正在拿你的網站小試牛刀。更有可能是,有某人已入侵你的網站伺服器,佔用了硬碟空間、CPU、頻寬等主機資源。不論理由為何,服務中斷會傷害到企業,因為客戶無法瀏覽網站。這不僅是收入上的損失而已,下次客戶在你的網站上購物時會三思而後行。
當網站信用卡資料遭竊,通常都會成為隔天的新聞頭條。而現有客戶或潛在客戶看到新聞,便會逃之夭夭。即使最忠實的顧客在購物前也會三思而後行,更有可能因此轉而向其他對手購買。
不只這樣,不少網路使用者會利用一些外掛程式辨別惡意網站。當你的網站被認為是散播惡意軟體或垃圾信件的話,你會發現網站流量明顯的大幅下降。
當網站信用卡資料遭竊,通常都會成為隔天的新聞頭條。而現有客戶或潛在客戶看到新聞,便會逃之夭夭。即使最忠實的顧客在購物前也會三思而後行,更有可能因此轉而向其他對手購買。
為了出現在搜尋結果前幾頁,不少企業花了大把金錢請SEO專家想排名排得更高更前面。可是只需要簡單的XSS跨站攻擊,辛辛苦苦得到的排名可能一瞬間暴跌。某些搜尋引擎更會將惡意網站完全從搜尋結果中給刪除掉。
即使企業重新修補網站,重新將網站提交給搜尋引擎,但過程一定是耗時又費力。不但害到網站流量,更害到網站收入。
2004年,為打擊信用卡欺詐和盜竊,組成了信用卡安全標準委員會(PCI SSC)。目的是為了提供發卡公司保障,確保有提供刷卡服務的店家在處理持卡人資料時,有合乎最基本的安全規範。
PCI標準規範要求店家(包含網路及實體商店)須合乎以下規範:
1. 建立並維護一個安全的網路系統
2. 保護持卡人資料
3. 需有漏洞管理的程序
4. 實施有效的連結控管措施
5. 定期監測並測試網路系統
6. 需有資訊安全政策
未能遵守PCI標準規範的公司,無法提供信用卡付款的服務,並可能受到懲罰和罰款。
找到最合適的解決方案來保護客戶信用卡資料,絕對是最的重要。為確保每家公司都合乎規範,因此制定了PCI標準規範。信用卡資料外洩一定會引起PCI委員會的關注,並追查誰讓此網站通過檢查。除了導致收入損失之外,更會收到PCI委員會的懲處。
網路不只是娛樂而已,更成為日常生活的一部分。我們利用網路來溝通、收集資料、研究、銷售產品以及處理其他業務。
在網路上傳輸的敏感財務資料何其的多,自然成為網路犯罪的天堂。此外,不安全的網站越來越多,導致駭客攻擊越來越猖獗。駭入電腦系統早已不是新聞。隨著網站程式的興起,不需要高深的專業知識,你也能夠當個駭客。
惡劣的駭客利用工具進行自動化攻擊。先利用工具尋找下手的目標,同時掃描多台電腦、路由器、伺服器及網站,尋找特定的漏洞。加上利用僵屍電腦,駭客可輕易提升攻擊規模。
一旦決定攻擊目標,便可利用以下方式展開攻擊:
XSS跨站攻擊 / SQL Injection / 遠端命令執行 DDoS攻擊 / Path Traversal / 其他
一旦找到漏洞,駭客便直接展開攻擊。更可以利用僵屍電腦擴大攻擊範圍,達到最大效果。
駭客肯定是會對受害網站造成影響。還會依據駭客使用的手法及攻擊的目標的不同,而達到不同的效果。更慘的是,絕大多數受駭的網站不只遭受單一種攻擊。
透過惡意軟體竊取電腦中的管理員權限或FTP憑證。一旦擁有權限或憑證,可隨意存取網站、網站伺服器甚至公司網路的其他資源。
伺服器操作系統上的漏洞,讓駭客可以存取網站的檔案。發送垃圾郵件或惡意檔案給無辜的訪客。如此一來,網站便會被搜尋引擎列為惡意網站,之後被搜尋引擎從搜尋結果中刪掉。
有網站程式的動態網站,更是提供駭客多種管道攻擊網站,甚至進到網站資料庫中。資料庫中包含財務資料或個人資料,可用於信用卡詐欺或是盜用他人身分。
DDoS攻擊則會導致網路服務中斷,如果有任何透過網路執行的重要業務,最好即刻中斷。
當網站或網路遭到攻擊時,用戶只會抱怨公司或企業,並不會責罵駭客。確保服務或者程式能夠抵禦駭客攻擊,便是企業的責任。
為了保護客戶和員工的財務或個人資料不被竊取,業界和政府針對常見的駭客攻擊手法進行規範。為打擊信用卡詐欺,業界建立一套PCI標準規範,要求店家採取具體措施保障客戶資料安全。
駭客攻擊不只竊取資料,也會造成公司損失客戶和收入。當一家公司因為駭客入侵而上了新聞,肯定失去忠實客戶的信賴。流量掉了還不打緊,一旦被搜尋引擎列為惡意網站,你為SEO優化所做的努力都白費了。
雖然近年各界都嘗試建立不同的電子支付方式,信用卡依舊是網路購物付款的主要選擇。如此龐大的信用卡金流在網路中流通,世界各地的網路罪犯早已覬覦垂涎許久。信用卡付款,是任何網路商店不可或缺的一部分,同時也是最關心的議題。
防堵信用卡詐欺方面,雖然已經小有成效,但對於信用卡安全,大家都不應該掉以輕心。為了提供信用卡支付,店家會安裝程式,處理信用卡資料。
以下程式也潛藏著許多漏洞:
SQL Injection / XSS跨站攻擊 / Path Traversal / Session Hijacking(會話劫持) / 惡意軟體(連程式一起被偷渡下載)
早期,駭客還必須有一定的水準,才能成功駭進網站。現在透過網路機器人,駭客簡單幾個步驟即可對網路商店發動大規模的攻擊。
信用卡最令人擔心的就是:交易糾紛。當有疑似詐欺情況發生時,總是買賣雙承擔風險及損失,而非信用卡公司本身。除了損失收入之外,這些有詐欺交易紀錄的公司還會被登記在信用卡公司網站上。當累積次數太多,信用卡公司將終止其交易行為。
2004年,為打擊信用卡欺詐和盜竊,組成了信用卡安全標準委員會(PCI SSC)。目的是為了提供發卡公司保障,確保有提供刷卡服務的店家在處理持卡人資料時,有合乎最基本的安全規範。
PCI標準規範要求店家(包含網路及實體商店)須合乎以下規範:
1. 建立並維護一個安全的網路系統
2. 保護持卡人資料
3. 需有漏洞管理的程序
4. 實施有效的連結控管措施
5. 定期監測並測試網路系統
6. 需有資訊安全政策
未能遵守PCI標準規範的公司,無法提供信用卡付款的服務,並可能受到懲罰和罰款。
如果網站的信用卡資料常常遭竊的話,除了營業損失之外,還得時常面對法律訴訟以及其他罰款。消費者一旦認定說,在這個網站消費不安全,不願在此消費時,會明顯影響公司的收入。品牌聲譽受損,比任何罰款都來得嚴重。
透過WAF,我們可以即時檢測網站的流量內容,尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。一旦WAF設置完成,便可抵禦以下攻擊: 路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針(Probe) / DDoS攻擊 / 伺服器盜用 / XSS跨站攻擊 / SQL Injections
找到最合適的解決方案來保護客戶信用卡資料,絕對是排第一的重要。當然也必須公司能夠負擔得起。沒有人可以精準預估,要花在原始碼檢測的成本和資源有多少。之後,還必須有專門的人力和成本來修補發現的安全漏洞。
如果認為Apache伺服器比微軟IIS伺服器安全許多的話,那可真是大錯特錯。跟其他軟體一樣,Apache也是充滿漏洞容易受到攻擊。Apache伺服器或由Apache驅動的網站,都面臨不同程度的威脅。網路犯罪早就不玩竄改或綁架網頁那一套了,他們渴望獲得金錢或資料等實質利益。無論使用那一套伺服器軟體,網站管理員都必須更加警覺才能保護網站程式
跟其他網站伺服器一樣,沒有正確設置Apache的話,等於敞開大門歡迎駭客光臨。預設安裝變得更加容易,但也因為裝了許多不需要的服務,而導致伺服器的安全性降低。執行越多的程式服務等於暴露在越高的風險當中。管理員如果沒有警覺性的話,將無法阻擋駭客入侵。
即使軟體已更新至最新版本,監控更加嚴密,並正確設置伺服器,還是可能被零時差(Zero-Day)攻擊。一旦遭受零時差(Zero-Day)攻擊,可能需要花上一天才能找到修補方式,這段時間內,網站將遭受到難以數計的攻擊。沒有別的方式,網站管理員必須監控並找出非法惡意網路流量,才能阻擋
Apache伺服器的安全性一直都在網路管理員的優先名單之內。但你沒有用同樣嚴謹的態度對待這些網站程式的話,還是很容易壟罩在駭客攻擊的陰影中。
常見針對網站程式的攻擊手法有:
XSS跨站攻擊 / 路徑探索(Path Traversal) / SQL Injection
會話劫持(Session Hijacking) / Link Injection / 惡意軟體 / DDoS攻擊
跟其他伺服器一樣,必須採取特定步驟才能強化操作系統的安全以抵禦攻擊。防禦惡意軟體、入侵偵測/防禦系統、網路防火牆,或其他工具和技術可以防止某些攻擊,但卻無法處理由已安裝的第三方程式發起的攻擊。Apache開發者意識到需要WAF來保護程式。
網站程式已成為網站犯罪竊取信用卡資料的溫床。為打擊氾濫的網路詐欺,因此組成PCI委員會,確保有提供刷卡服務的店家在處理持卡人資料時,都必須合乎PCI標準規範。不分大企業或小公司,即使店家一年只有一筆刷卡紀錄,也必須確實維護持卡人資料安全,避免曝露給未經授權的使用者知道。
許多網站都有網站程式,駭客特別熱中攻擊網站程式,PCI標準規範特別指出該如何保護網站程式的安全。當中提到,處理信用卡資料的網站管理者,必須透過以下兩種方式其中一種,達到PCI標準規範的要求:
企業通常擁有不只一種網站程式,並時常新增。所以我們難以評估說,進行所有程式的原始碼檢測需要耗費多少人力及成本。IT部門不僅要準備檢測用的原始碼,提供檢測單位支援。檢測報告出爐後,還要安排時程修補及測試程式,確認程式可以正常執行。
並且規定必須透過以下四種方式來完成:
1. 人工程式原始碼檢測
2. 使用自動程式原始碼檢測(掃描)工具
3. 人工網站程式安全性漏洞評估
4. 使用自動網站程式安全性漏洞檢測(掃描)工具
「尋找漏洞、修補漏洞、測試程式」這種測試周期不可能一次找出程式中所有的漏洞,因此導致這周期必須周而復始的不斷重複。你還必須確認程式的修補與測試不會影響到網站的正常營運。
最重要的是,原始碼檢測只能檢測當下已知的漏洞,無法抵禦未知的漏洞。因此選擇為網站安裝WAF顯得更具吸引力。
委員會(PCISSC)規定可以安裝WAF來取代定期的原始碼檢測。不論是硬體版或是軟體版的WAF,都是架在客戶端以及網站程式之間。不同於傳統防火牆和入侵防禦系統,WAF能明白應用程式層的邏輯,這對保護持卡人資料來說是必要的。
WAF提供一個直接且節省成本的安全解決方案。不僅合乎PCI標準規範,也針對SQL injection、XSS跨站攻擊和衝著網站程式來的攻擊,提供即時性的防禦。WAF強調預防入侵,而非偵測漏洞。針對網站流量進行深入的封包檢測,在網站程式前架設一道安全防禦。
優點如下:
合乎PCI標準規範
不需付出額外的研發成本
適用於由第三方開發的程式或元件
一旦WAF設置完成,便可抵禦以下攻擊: 路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針(Probe) / DDoS攻擊 / 伺服器盜用 XSS跨站攻擊 / SQL Injections