NCSC的工具包列出漏洞揭露程序三大元件,包括:網頁格式的通訊窗口,以利任何發現安全漏洞的人提交資訊;以及必須提供清楚的政策,讓雙方能夠在同意的框架上進行合作,例如安全通訊選項、漏洞報告中應包含的資訊、回應的方式,以及所接受的漏洞範圍等;另也建議各組織應該採用Security.txt。

英國的國家網路安全中心(National Cyber Security Centre,NCSC)在本周發表了漏洞揭露工具包(Vulnerability Disclosure Toolkit),以協助各組織建立或改善漏洞揭露流程。

NCSC闡明,此一工具包是提供給想要實施漏洞揭露程序的組織,儘管它不是一個全方面的指南,但它具備了各種必要元件。

該工具包列出的漏洞揭露程序三大元件,包括:網頁格式的通訊窗口,以利任何發現安全漏洞的人提交資訊;以及必須提供清楚的政策,讓雙方能夠在同意的框架上進行合作,例如安全通訊選項、漏洞報告中應包含的資訊、回應的方式,以及所接受的漏洞範圍等;另也建議各組織應該採用Security.txt。

Security.txt為一提供網站安全資訊的建議標準,目的是為了讓安全研究人員更容易舉報漏洞,它的檔案名稱就叫做Security.txt,以文字描述各網站的安全政策、漏洞揭露程序及聯絡窗口,目前包括臉書、Google、GitHub及LinkedIn都已採用Security.txt。

此一工具包也特別提供了網站對跨站指令碼(Cross-site scripting,XSS)與子網域接管漏洞的回應方式,因為它們是NCSC所收到的最常見漏洞。

NCSC指出,反射性的XSS漏洞常被用來發動偽造網站或網釣攻擊,伺服器端的腳本程式會在網頁客戶端提供資料,替受害者產生一個結果頁面,假設使用者所提供的資料缺乏適當的驗證,客戶端的執行程式可能就會注入動態頁面中,而允許駭客竊取受害者的令牌、紀錄鍵盤輸入,或是執行特權行動等。NCSC則建議網站,應該同時執行特定的脈絡輸入驗證與輸出編碼來緩解相關攻擊。

至於子網域接管則是當一個子網域被配置成顯示第三方網站內容時,較容易出現的安全漏洞。這類的配置通常會利用正規名稱記錄(CNAME)機制,以用來替特定網域的正式名稱及別名建立連結,例如將www[.]example.com對應到example.com網域的實際網站,可能應用在由第三方代管的郵件或地圖服務上,但若第三方的子網域過期了、或是因任何原因而無法指向應有的內容,就有可能被駭客接管。

NCSC建議網站移除不需要或不再被代管的子網域,以確保不被駭客利用。


Advertisement

更多 iThome相關內容