這幾天 eTag 的新聞依舊不斷,今天看到一篇來自於自由時報的新聞報導 - 國道計程變國際笑話/遠通資安凸槌 政府罰不到,報導最後提到
“根據資深網管人員康康表示,駭客可能在遠傳網址後面加上特殊字元,剛好可以進入敏感目錄,不能顯示後端資料庫資料是否外洩。但這顯示管理人員太不小心了,因為只要有定期更新修補程式,就可以避免這個問題。”
姑且不論這位康康到底是何方神聖,但是看到結論是只要定期更新修改程式就可以避免這個問題,就知道這位康康果然很資深,講的大概是10年前的觀念。
駭客的攻擊手法千百種,不過大致的趨勢是從早期的攻擊網路、攻擊作業系統、到後來針對應用程式的弱點下手。而應用程式包含所謂的套裝程式 (如 PDF Reader) 以及自行開發的程式,都是可能受到攻擊的目標。而公開的網站應用程式,更是熱門的目標。在這些應用程式之中,自行開發的網站應用程式,自是熱門中的熱門。原因無他,一是這類網站通常含有大量的有價資訊,另外一方面則是這類網站的安全防護能力通常也較差,往往用自動化工具就可以找到不少可憐的羔羊。再加上公開的特性,對駭客來說就像男人看到穿著清涼又身材曼妙的美女在沙灘上走來走去一般令人無法抗拒。
很可惜的是,對自行開發的網站應用程式而言,很多安全問題並不是靠更新系統就可以解決的。必須要從應用程式面下手,認真做好各項的防護工作後才能有效提昇安全性。更好的作法,當然就是導入類似 Secure SDLC 的制度。道理很簡單,因為一開始駭客就不是利用作業系統的漏洞取得這些機密資訊,而是利用了程式沒有做好限制的邏輯缺陷。我相信大家都知道窗戶破了就該把窗戶補好,而不是把原本的圍牆升級為高壓電網。就像我常說的,頭痛醫頭不算什麼,頭痛醫腳才是真庸醫。
所以,儘管定期更新真的很重要,但是再也別把它當成萬靈丹或唯一該做的事情了。
沒有留言:
張貼留言