圖片來源: 

周峻佑

一般來說,對於系統弱點的控管,我們可能都會從個別軟體下手,而軟體開發廠商也只集中留意自己推出的產品中,是否出現能夠被拿來利用的弱點,然而,隨著實務上多種軟體的搭配運用,不同軟體之間的字元處理方式的差異,駭客可能得以長驅直入。戴夫寇爾(DevCore)顧問蔡政達(Orange Tsai)在今年的HITCON #14大會上指出,利用Apache、Nginx、Tomcat等網站伺服器的常用軟體中,對於特殊字元識別方式的不同,便能藉此找到管理後臺登入頁面,或是存放密碼的檔案等,呼籲網站管理者要採取較為嚴謹的做法,像是隔離後臺應用程式、管理主控臺,並且檢查代理伺服器和後臺伺服器之間的互動行為。

為了要讓多種軟體之間的能夠協同運作,人們採取了共通的標準,藉此能夠得以保護這些軟體,在搭配運作時,不致產生問題。然而,蔡政達表示,雖然這樣的措施確實達到了上述的目的,但還是仍有其不一致的地方。加上現在講求快速開發,同樣的問題也會隨著程式碼被沿用,而在更多系統上出現。


Advertisement

更多 iThome相關內容