9成網站都有商業邏輯漏洞

OWASP（開放網路軟體安全組織）日前在臺灣舉辦第一屆官方亞洲年會，針對許多Web以及Web應用程式安全發表相關演說。其中，前Yahoo資安長Jeremiah Grossman首度發表商業邏輯漏洞（Business Logic Flaws）演說，直指這種商業邏輯漏洞將使得企業網站陷入危機，一個不注意可能導致企業營收損失。

Jeremiah Grossman是白帽（WhiteHat Security）安全資安顧問公司創辦人兼技術長，也是美國黑帽（Black Hat）和DefCon駭客年會講師。他從許多的資安事件發生的原因，歸納出一個對企業資安的威脅型態：商業邏輯漏洞。

線上拍賣造成可能的商業邏輯漏洞
商業邏輯漏洞其實就是，一般商業邏輯流程過程中，所出現的技術漏洞。曾經當過雅虎資安長的Jeremiah Grossman說：「線上拍賣就是一個常見的商業邏輯漏洞的案例。」

他進一步解釋，線上購物網站為了避免駭客以暴力手法找出使用者的密碼，通常會在密碼輸入錯誤數次之後即鎖定該帳戶。有心的駭客若要搶標，就可以利用這個邏輯上的漏洞來鎖死其他競標者，駭客只要以其他競標者的帳號，連續輸入錯誤的密碼來造成該帳戶被系統鎖死，再趁機搶標。

商業邏輯漏洞發生可能性廣泛
這樣的商業邏輯漏洞也發生在常見的密碼恢復認證機制上。Jeremiah Grossman指出，有許多Web服務機制為了降低解決使用者忘記密碼的困擾，並降低解決這類問題的成本，會設立所謂的安全問題，藉由回答安全性問題取得使用者密碼。不過，便曾經發生設定安全性問題時，其答案選項固定，嘗試幾次就會猜到。例如，安全性問題是最喜歡的顏色為何？但選項若指有紅、黑、白等3個答案時，嘗試幾次錯誤之後，就可以破解了。

另外，美國也有一些專業的產業媒體報導，為了怕影響股價，會在一定日期過後才能公開給特定的授權對象。Jeremiah Grossman說，這些文章其實老早就被上傳到網路伺服器上，等時間到才開放。但就有人發現每一篇文章的網址包含日期數字，具有規則性，透過猜出刊日期與文章數字的方式，輕易拆解出未公開文章的網址，並趁機獲利上百萬美元。

除了線上拍賣可能面臨這種商業邏輯漏洞外，同樣的方式也發生在互動式網路電視台、蘋果MacWorld與Steve Jobs有約、線上遊戲、線上賭博等商業流程中。

9成網站具有商業邏輯漏洞
Jeremiah Grossman表示，不論是信用卡交易資料傳輸，或者是密碼復原，就是一般常見以Web為主的商業邏輯流程，這其中所有的技術弱點，都會是駭客專注攻擊的目標。根據白帽安全資安顧問公司的統計，在掃描將近1,000個網站中，將近9成網站，具有商業邏輯流程的技術弱點。

企業使用Web應用程式的比例越來越高，Jeremiah Grossman表示，不論這些Web應用程式是客製化或者是由第三方廠商提供，大多經過良好的品質控管檢測，加上這些可能的商業邏輯漏洞，也很難透過IDS（入侵偵測系統）定義出缺陷、漏洞在哪，網路應用程式防火牆也很難抵抗這樣缺陷、漏洞的發生。簡而言之，就目前所有的防禦工具而言，對於這種商業邏輯流程中所造成的技術漏洞，尚不能透過工具進行有效防禦措施。

縱深防禦是商業邏輯漏洞最好的預防之道
面對這種商業邏輯漏洞該怎麼解決？Jeremiah Grossman表示，除了避免將使用者帳號、密碼留存在網路上，容易被有心人追查相關隱私外，也建議在密碼錯誤次數太多被封鎖時，可以加上輸入圖片上數字的CAPTCHA 系統，以避免機器人暴力拆解密碼的可能性。

由於這種商業邏輯漏洞問題的出現，往往不是程式本身有大的疏漏，Jeremiah Grossman表示，通常是在配合企業營運流程上的某一個關鍵點上的疏漏。所以，這樣的缺陷、漏洞，也無法透過常見的IDS（入侵偵測防禦系統）等工具檢查出來。

但Jeremiah Grossman說，還是有一些基本的預防之道。這種商業邏輯漏洞流量並未異常，因此很難藉由基本的網路應用程式防火牆、弱點掃描、安全的設定等方式，做到防護。但從最佳實務的角度來看，至少兩名資安專家，佐以自動化的掃描工具，程式開發符合SDLC（軟體開發生命周期），做到縱深防禦，有助於發現商業邏輯漏洞。

另外，Jeremiah Grossman也建議，企業可做到資產追蹤、安全度量以及符合開發框架等，也都是有效解決商業邏輯漏洞的方式。文⊙黃彥棻