今年 Chrome 宣佈網站都要遵守憑證透明化政策 (Certificate Transparency,CT) 才會被瀏覽器列為安全顯示後,網站要如何選擇 SSL 數位憑證的議題,已經廣為大家討論,但今天我們要說的是,除了跟 SSL 相關的傳輸安全性以外,還有更多網站安全議題事關重大。
最常為人道的問題,諸如:
- 我們被客訴接到詐騙電話!為什麼?怎麼辦?
- 我們有防火牆,但客戶資料還是外洩了?這是怎麼回事?
- 客戶帳號被盜用,還收到詐騙信件。
- 我的網站被駭客竄改了首頁圖片!
- 我的網站被檢舉,IP 被 Spam,現在網站完全看不到。
以上問題除了一般使用者覺得擔心以外,網站擁有者聽起來每一項都更加的可怕,因為這些事件本身已經造成損失以外、事件的背後更帶著一堆知其然不知其所以然的技術專有名詞,很多名詞大家都聽過,遇到時卻不知道原來會發生在自己網站上,也緊張得不知道該如何解決好,這些問題沒有事先預防,在遇到當下才開始一項一項地檢查,不僅會增長安全空窗期,還會增加單次檢查、掃描、修補的成本、更容易因為網站不安全而流失許多客戶與訂單,還要重新塑造品牌形象與商譽來挽回客戶信心,這些都是額外的成本。
到底是甚麼樣的問題造成這些事件發生? 又該如何預防呢? 以下簡單敘述大家常聽到的名詞及對應會發生的問題:
- SQL Injections 資料隱碼攻擊:
資料庫的程式語法不夠嚴謹,直接從程式被攻破,資料庫的管理員帳號密碼被竄改、資料被竊取利用或對站主勒索。
- Xss (cross site scripting) 跨站指令碼攻擊:
也算隱碼攻擊的一種,手法大致相同,但主要是針對程式語法邏輯較弱的網頁(例如免費套版網頁、常見語法)輸入惡意的指令,在一般使用者上網時的某個行為,觸動該惡意指令,讓網頁看起來不一樣了、或被觸動而執行各種惡意的網路行為。
- Phishing 網路釣魚:
透過在網頁埋入惡意連結,在使用者不知情點選或執行動作之下,跳頁到假的網站輸入資料,以竊取個資,後續利用如帳號、密碼、Email等個資來行騙;例如做一個假的 Yahoo、Google 一模一樣的網頁,讓你以為是真的,騙你在該網頁輸入帳號密碼。
- Malicious惡意軟體:
經常看到攻擊者將其埋藏於某些廣告或是圖片當中,讓使用者點擊後,默默的下載或執行含有病毒的軟體,讓使用者的電腦或網站主機除了後門大開,更可能成為攻擊其他人的跳板,最後造成網站被檢舉。
其實還有更多的攻擊手法,例如社交工程攻擊、木馬、後門程式等…這些手法都在日新月異的改變模式,讓工程師防不勝防,今天有一個新的惡意程式,明天可能又改變了,絕對不是遇到一次掃一次就能一勞永逸的,如果網站沒有進行長期持續性的掃描監管、即時的更新攻擊模式來抵禦攻擊,人工根本不可能即時辨識出網站是否已經遇到危險了,而這些問題若能在網站首次建立好的時候,就先一次性安裝自動化更新的網站掛馬入侵偵測工具,其實就能定期收到報表,網站在遇到危險時也能及時收到提醒並採取修補行動防範於未然,畢竟這些網路安全問題都能輕易就破壞網站辛苦的營運成果與無價的品牌形象,網站營運者千萬不可輕忽!
圖片來源:Google
歡迎轉載!請見:轉載原則。