針對Web 2.0網站的攻擊明年會更多

隨著Web 2.0互動式網站越來越熱門，安全廠商也預測，這將成為明年駭客攻擊、散佈惡意程式的重點目標之一。

包括McAfee、賽門鐵克、IronPort等安全廠商都在針對2008年病毒威脅的趨勢預測報告中指出，針對互動式網站的攻擊會越來越多。所謂互動式網站指的是使用者有很大空間可對網站做編輯，也就是說使用者和網站的互動行為形式變多，例如可留言、上傳，不過在這些互動行為之間，卻暗藏許多漏洞。

安全專家也預測，現在當紅的部落格（Blog）會是互動式網站中受到注意的攻擊目標。趨勢科技資深技術顧問戴燊指出，Web 2.0的攻擊手法都是希望吸引特定族群受到感染，藉此達到特定目的，例如盜取帳號。

他進一步舉例，例如在討論遊戲的部落格，或是拍賣網站，都很容易盜取大量特定帳號，不管是遊戲的虛擬貨幣或是拍賣中的個資，駭客都可從中獲利。

針對互動式網站的攻擊可分兩種，一種是駭客以使用者的身分利用留言版或是上傳功能，張貼帶有惡意程式的網頁連結，誘使其他使用者點進連結，或是在網站本身的漏洞中植入惡意程式碼，目的都是讓其他使用者電腦被植入惡意程式，藉以盜取使用者資料。

而另一種攻擊則是針對網站本身的攻擊，例如國外的MySpace或是國內的無名小站，這些網站可能含有使用者的隱私資料，如鎖起來的文章、照片，但駭客會試圖破解密碼，將隱藏起來的資料公開散佈。

賽門鐵克從2006年就已發現駭客針對MySpace的攻擊，賽門鐵克資深技術顧問莊添發說明，駭客是利用MySpace的程式碼漏洞，加上社群網站的傳播特性，就會大幅增加惡意程式散播的速度。由於MySpace這種社群網站有其連結的特性，因此和一般網站比起來，透過互動式網站的散播速度會更快。

而McAfee今年在台灣也發現不少無名小站遭到攻擊的例子，除了破解密碼外，也在網頁中植入惡意程式。McAfee技術顧問沈志明說，互動式網站會成為駭客目標，主要是因為社群使用頻繁，加上互動的特性、管道變多，使用者更容易從中感染惡意程式。「因為接觸的形式和放置病毒的形式都變多了。」他說。

在互動式網站中透過資料傳輸過程的弱點，很容易被入侵，另外像RSS的功能也會成為入侵管道。IronPort台灣暨華南區技術顧問總監林育民則指出，在互動式網站中相當容易將資料貼上網站，因此如果網站本身沒做好控管，惡意程式可以藉此獲得很大的傳播效益。