圖片來源: 

Portswigger

對於網站安全的議題,除了關注每年OWASP歸納出的十大網頁應用程式安全風險之外,每一年,我們也都會看到許多安全研究人員,透過會議演講、部落格文章、白皮書、影片與社群,分享在網站安全領域上的各式攻擊技巧發現,令人目不暇給,難以判斷優劣。

今年10月,2017年度10大網站駭客技術手法正式出爐,統整了該年度領域專家認為最具創新的研究,也是網站安全值得關注的新防護面向,特別的是,獲得第一名的網站攻擊技術──SSRF的新時代,是由臺灣的安全研究人員Orange Tsai(蔡政達)所提出。

從37項提名獲得第一,臺灣資安專家持續在國際揚名

今年公布的10大網站駭客技法,是由網站安全公司PortSwigger舉辦,知名的Web安全工具Burp Suite就是出自他們之手。該公司首席研究員James Kettle是這個領域的知名專家,也是這次活動的主要推手,他在7月開始發起活動,並在社群上接受提名,8月再從37項提名發起社群投票選出候選名單,接著9月再由專家小組從候選名單決定前十名,最終在本月11日公布結果。

其中,由Orange Tsai發表的「A New Era of SSRF」,針對伺服器端請求偽造(SSRF)這個漏洞,由於是從舊有攻擊技術中提出新的方向,因該研究其創新與影響力,從37項提名脫穎而出,成為年度最佳技術。

事實上,關於這樣的活動,自2006年開始,首先是由前Yahoo資安長、WhiteHat Security創辦人Jeremiah Grossman,在他的部落格上開始推動,一開始他與Matt Johansen兩人籌畫,並與社群Information Security Community合作,希望藉由選出10大關注焦點,引起人們興趣,並關注到該領域的創新研究。畢竟,每年公布的網站攻擊技術數量不少,雖然內容五花八門,但可能讓人忽略一些非常有價值的漏洞問題。

在2011年時,這項活動轉移到WhiteHat Security公司舉行,不過,在2015年後一度停辦。但這個維持10年的活動,其實為網站安全研究人員提供了寶貴的資源,成為網站安全人員每年必讀的知識庫之一。今年由James Kettle重新發起,同時也獲得Jeremiah Grossman與Matt Johansen的支持,讓這項活動得以延續,以鼓勵研究人員的新發現,以及促進網站安全領域發展。

而這次出身臺灣的資安研究人員所提出的技術入選,也再次突顯出我們的專家在國際上的發光發熱。關於Orange Tsai,他是臺灣企業資安領域相當知名的滲透測試專家之一,舉例來說,過去他扮演過獎金獵人的角色,參加各大廠商舉辦的漏洞獎勵(Bug Bounty) 計畫,例如Google、Facebook、Apple、Yahoo、Uber與eBay,幫助企業尋找漏洞並回報。

他也擔任臺灣HITCON戰隊隊長參與全球網路攻防競賽,最近並連續兩年,在美國拉斯維加斯舉行的黑帽大會(Black Hat)等知名資安大會擔任講師,分享最新的技術研究,目前他擔任臺灣資安公司戴夫寇爾(DEVCORE)顧問一職。

關於這次獲得網站安全領域人士的肯定,他本人也相當意外,因為其他提名項目也很出色,而這個攻擊技術之所以拿下第一名,他認為有兩個可能重點,首先是提供了一個「新的方向」,去繞過以往企業對於SSRF漏洞的保護機制。

他進一步解釋,這個攻擊漏洞並非一般針對保護機制不足而採用的繞過方式侵入,而是從程式語言上及層次架構上的問題入手。舉例來說,找到程式語言上的問題,即使開發者上層的程式碼寫的再好,但因為出問題的地方是在底層的部分,這也意謂著還是可以被攻擊突破或繞過;另一方面,架構上的問題,開發者往往專注在自己所寫的應用上,而容易忽略多個系統之間的交互關係。

對於架構層面的交互關係,Orange Tsai也用一個有趣的例子來說明「不一致的問題」,就算是同一個程式語言中的library,對於同一個網址的理解,還是有很大的不同。而對於同一份標準理解的不同,將造成A看起來沒問題,B也覺得沒問題,但A、B串起來就產生問題。

第二個重點是,他設法擴大了SSRF漏洞的影響層面,對於SSRF這個漏洞,他發展出更有效的利用方式,搭配在各種不同程式語言實作的瑕疵,或是作業系統本身的特性,讓原本只能攻擊 HTTP的漏洞,可以跨不同協定來攻擊內部網路服務。

更重要的是,要能在舊有的攻擊技術中提出新的方向,這其實是一件困難的事情。此外,對於業內人士而言,他並串起了一個令人再三回味的演示:在GitHub企業版本,利用4個漏洞,實現從SSRF到RCE漏洞執行。

當然,對於這些新攻擊技術的發現,也成為網路安全需要聚焦的新面向。企業必須重視的是,隨著技術演進日新月異,以往被推崇的開發方式,或是防禦漏洞的手法,只要一不注意,可能又被新的伎倆所突破或繞過。因此,網站防護也要與時俱進,才能不斷改善網站安全。

至於臺灣企業而言,雖然,現在很多企業開始重視資安,但基本的網站安全方面,都還有很大的進步空間。因為,從國內的漏洞通報現況來看,常見的漏洞問題改善速度緩慢,例如SQL Injection、XSS與資訊洩漏等,一些低級的漏洞問題,多年以來仍然存在,這是一些企業該積極行動去解決的問題。

2017年度十大網站攻擊技術手法


Top 10 Web Hacking Techniques of 2017
1. A New Era of SSRF Orange Tsai
2. Web Cache Deception - Omer Gil
3. Ticket Trick - Inti De Ceukelaire 
4. Friday The 13th JSON Attacks - Alvaro Muñoz & Oleksandr Mirosh
5. Cloudbleed - Tavis Ormandy
6. Advanced Flash Vulnerabilities - Enguerran Gillier
7. A deep dive into AWS S3 access controls - Frans Rosén
8. Request Encoding to bypass web application firewalls - Soroush Dalili
9. Cure53 Browser Security Whitepaper - Cure53
10. Binary Webshell Through OPcache in PHP 7 - Ian Bouchard

資料來源:PortSwigger,iThome整理,2018年10月


Advertisement

更多 iThome相關內容