「駭進網頁」到底是怎麼一回事?真的很難嗎?|專家論點【Huli】
我相信大家近期都有注意到許多跟資訊安全相關的新聞,例如說台灣大學的網頁被中國駭客入侵,在學校網頁上面放了「一個中國」相關的圖片與字眼,而自稱是 APT27 的駭客組織也發布了攻擊的預告,說是要公開台灣某些連網設備的漏洞。
以前其實這類型的新聞也偶爾會看到,只是最近因為兩岸關係的變化,使得這種針對性的攻擊浮上檯面,並且頻繁出現在新聞版面。
如同我上一篇裡面提到的,資訊安全有許多的環節,而我們上一篇就講到了「開發上的資安」通常會做哪些措施來保護。但是,資安這種東西沒有「絕對不會被駭」這種事,沒有人能保證這件事情。
因此,我們只能盡可能用許多防禦的手段,降低駭客攻擊成功的可能性以及嚴重性。
回到「駭進網頁」這件事情,我們常常在電影或是電視劇裡面看到身穿黑衣黑帽的人不斷敲打著鍵盤,然後一個人用了十幾個螢幕,似乎在監看許多畫面,在寫著許多東西,這就是駭客平常的樣子嗎?還是說這只是電影呢?
那到底「駭進網頁」是怎麼樣一回事呢?是不是真的很難?還是說,其實沒有一般人想像中的困難呢?
在討論這個之前,想問問看大家有沒有被駭的經驗,例如說被盜帳號啦,或是被釣魚網頁釣到啦,又或者是去某些網站註冊或是買東西,結果接到相關的詐騙電話,這些也都是被駭的一種,大家有沒有相關的經驗呢?
瀏覽 7,743 次
詐騙電話接過一次,還差點信了QQ
如果沒記錯是詐騙健保卡到處刷之類的內容,當時還是心智為開化的國小生XDD
沒想到詐騙電話也算是駭客的一種?
說真的對駭客的印象還和原PO描述的一樣哈哈,但感覺事實不然!!感覺厲害的一台電腦就可以駭進天下~
詐騙電話的話要看詐騙集團是從哪裡弄來你的電話的,有可能是你去某些網站購物,然後網站被駭了,所以電話才流出去之類的,因此詐騙集團才會這麼清楚你買了什麼
買東西被洩個資這個有,
我自己碰到的有金石堂、讀冊、博客來(都是買書哈哈),都是大陸口音XD
另外常見到,自己沒碰到的,就是社群網站被盜帳號
偶爾有沒私聊過的臉友發訊來借錢、賣東西等等,通常就是不理
或是到他塗鴉牆去留言提醒被盜
這種真的很常見,只是買個東西資料就外洩了QQ
印象最深的是.. 剛在銀行辦完金融信用卡.. 才踏出門口.. 就收到簡訊.. 說我有信用卡未繳.. 請電帳務組(有點忘了) XX-XXXXXXX(這是詐騙的) 或免付費電話 XXXXXX (這真的是該銀行免付費電話).. 然後..我一直打免付費電話一直忙線.. 一般人如果等不急.. 很有可能就會打另一支電話了..就會落入詐騙陷阱裡了.. 還好我是讓免付費電話一直等.. 終於接通.. 詢問之下.. 才知另一支是詐騙電話… 當下真的無言.. 連銀行都沒啥保障.. 不過那是二十年前的事了.. 那時可能防護不是很好…呵…
看起來那時候的詐騙就滿高招的了
「駭進網頁」可能沒有你想像中的困難
之前我有 po 過一篇《「駭進網頁」到底是怎麼一回事?真的很難嗎?》的討論,裡面問到了大家對於「被駭」的經驗,例如說最常見的應該就是帳號被盜用,或者是個資外洩等等。而今天這一篇,就是要來破除許多人對於 hacking 這件事情的迷思。有的駭入事件可以很難,但有的也可以很簡單,甚至連不懂技術的你都做得到!
舉一個例子,你在使用購物網站或是任何購物相關的服務時,有注意過網址嗎?有許多相關的服務在你購買完成之後,都會把你重新導去另一個網址,例如說 /order?id=123456 這樣子的格式,如果你沒有注意過的話,下次可以特別注意看看。
對於網頁伺服器來說,/order?id=123456 這樣的網址,就是跟他說:「我想要訂單 id 是 123456 的資料」,這個應該滿好理解的,就是一個參數的概念。
這個時候,一般人可能想說沒什麼,但像是我或是很多懂技術的人,就會把網址改成 ?id=123457,看看會發生什麼事情。有些做得很差的網站,在權限管理的部分並沒有做好,因此你改了網址之後,居然還真的可以看到別人的訂單!
更糟的是,這些訂單很多都是流水號的,所以你可以列舉出所有的訂單,裡面就有所有消費者的訂單資料跟個人資料,而這些人的個資,就因為這個這麼簡單的漏洞而外洩了。
不要想說「怎麼可能真的這麼簡單」,還真的就是這麼簡單,就是一堆網站犯過這樣的錯誤。
所以,下次在使用這些服務之前,不妨注意看看網址上的參數,並自己改改看,看會發生什麼事情。如果網站有正常運作的話,要嘛會出現錯誤頁面,不然就是跳出權限不足的頁面之類的,絕對不會真的跑出別人的資料來。