「漏洞」到底是什麼?到底怎麼入侵?一起來看看吧!|專家論點【Huli】
大家常在新聞上看到某某網站或是某某公司又被駭客入侵的新聞,對於遭到駭客入侵後的「結果」應該不陌生。但我相信對於許多人來說,到底所謂的「漏洞」是什麼,「攻擊」又是在攻擊什麼,這些細節應該是無從知曉的,頂多在腦海中浮出電影裡的畫面,只是不斷在敲盤上敲打。
今天我想藉由一些實際案例,跟大家分享所謂的「漏洞」跟「攻擊」到底是怎麼一回事。首先,漏洞有分簡單的跟困難的,這篇會提到的都是能夠比較簡單利用的漏洞,並不代表每一個漏洞都這麼簡單就可以入侵。
既然說是要分享實際案例,那就要有資料來源。台灣有一個由 HITCON(台灣駭客年會)所發起的漏洞回報平台 HITCON ZeroDay,白帽駭客們可以在上面回報自己找到的漏洞,而背後的志工們在驗證漏洞以後,會回報給相對應的組織,例如說學網相關的可能就會回報給台灣學術網路危機處理中心。
這個平台的立意良好,畢竟有些公司如果你自己回報漏洞的話,有可能會被誤認為是來勒索或是敲詐,但透過平台回報,就能減少這類型的問題。而且在這邊回報的漏洞,也依循著國外行之有年的做法,就算沒有修復,在一定時間(例如說兩三個月)後也會公開,讓廠商對自己產品的漏洞負責。
底下這個網址可以看到所有已經公開的漏洞(以修完的佔大多數):https://zeroday.hitcon.org/vulnerability/disclosed
我們可以看到許多不同成因造成的漏洞,例如說 ZD-2022-00425 雲端租屋生活網 弱密碼,原因是後台管理系統可以用 test 這組帳號密碼登入,登入之後就進到管理系統了。
是不是跟你想像中的不太一樣?原本以為需要一直敲著鍵盤,打著你看不懂的東西,殊不知只是敲兩遍 test 就入侵成功了。是的,許多現實生活中的漏洞,比你想的簡單許多,而這同時也代表著有許多軟體開發人員對於資安的認識不足。
再來看一個案例:ZD-2022-00416 康軒電子書 FTP帳密洩漏,在程式碼裡面找到一個網址,然後內容就是康軒 FTP 的帳號密碼,登入進去以後就可以拿到網頁原始碼。像這樣子把 FTP 帳號密碼大搖大擺地寫出來,顯然也是很不安全的做法。
最後再來看一個 ZD-2022-00323 弘爺漢堡 個資易讀取,讀取會員個資的 API 必須傳入一個會員的 ID,只要把這個 ID 改成別人的,就可以拿到別人的姓名、電話跟 email。許多網站的會員 ID 都是流水號或是很容易預測的格式,所以理論上來說,等於是可以拿到所有會員的個人資料。
從上面這些漏洞中就可以看出,有許多現實世界會發生的漏洞,可能跟大家想的不太一樣,漏洞很簡單就能夠入侵,而入侵方法連一般人都能夠操作。上面的列表還有更多更多漏洞,也有提供搜尋功能,感興趣的朋友們可以搜搜看自己有用過的網站。
這篇文章並不是在說「你看,當駭客很容易」,我在一開始就有強調說漏洞有簡單的有困難的,這篇講的都是比較簡單的案例。我想表達的事情是「你看,並不是所有漏洞都跟你想的一樣這麼難,也有這種簡單的」,下次在看這些網站時,你也可以多花點心力試試看,說不定你也能找出這類型的漏洞。
而身為開發者,自然就是必須時刻提醒自己,不要寫出這種很容易就能被攻擊的程式碼,要把基本的資安做好。
瀏覽 1,901 次