英國國家網路安全中心釋出漏洞揭露工具包

英國的國家網路安全中心（National Cyber Security Centre，NCSC）在本周發表了漏洞揭露工具包（Vulnerability Disclosure Toolkit），以協助各組織建立或改善漏洞揭露流程。

NCSC闡明，此一工具包是提供給想要實施漏洞揭露程序的組織，儘管它不是一個全方面的指南，但它具備了各種必要元件。

該工具包列出的漏洞揭露程序三大元件，包括：網頁格式的通訊窗口，以利任何發現安全漏洞的人提交資訊；以及必須提供清楚的政策，讓雙方能夠在同意的框架上進行合作，例如安全通訊選項、漏洞報告中應包含的資訊、回應的方式，以及所接受的漏洞範圍等；另也建議各組織應該採用Security.txt。

Security.txt為一提供網站安全資訊的建議標準，目的是為了讓安全研究人員更容易舉報漏洞，它的檔案名稱就叫做Security.txt，以文字描述各網站的安全政策、漏洞揭露程序及聯絡窗口，目前包括臉書、Google、GitHub及LinkedIn都已採用Security.txt。

此一工具包也特別提供了網站對跨站指令碼（Cross-site scripting，XSS）與子網域接管漏洞的回應方式，因為它們是NCSC所收到的最常見漏洞。

NCSC指出，反射性的XSS漏洞常被用來發動偽造網站或網釣攻擊，伺服器端的腳本程式會在網頁客戶端提供資料，替受害者產生一個結果頁面，假設使用者所提供的資料缺乏適當的驗證，客戶端的執行程式可能就會注入動態頁面中，而允許駭客竊取受害者的令牌、紀錄鍵盤輸入，或是執行特權行動等。NCSC則建議網站，應該同時執行特定的脈絡輸入驗證與輸出編碼來緩解相關攻擊。

至於子網域接管則是當一個子網域被配置成顯示第三方網站內容時，較容易出現的安全漏洞。這類的配置通常會利用正規名稱記錄（CNAME）機制，以用來替特定網域的正式名稱及別名建立連結，例如將www[.]example.com對應到example.com網域的實際網站，可能應用在由第三方代管的郵件或地圖服務上，但若第三方的子網域過期了、或是因任何原因而無法指向應有的內容，就有可能被駭客接管。

NCSC建議網站移除不需要或不再被代管的子網域，以確保不被駭客利用。