研究：網站安全認證標章不用太相信！

網路業者為了讓使用者能夠安心使用其網路服務或是網路購物，會在網站上提供由第三方業者發出的安全認證標章，但最近一份學術研究指出，具有安全認證標章的網站其實不見得比較安全。

美國紐約石溪大學（Stony Brook）電腦科學系發表一篇探索第三方安全標章生態體系的學述研究報告，針對由賽門鐵克Norton、McAfee、Qualys、GoDaddy等10家業者為網站提供的安全信賴標章認證方法，以及8300多個獲得這些安全信賴標章的網站安全進行研究。

透過一系列自動及人工實驗，研究人員發現，標章供應商的安全檢測並不徹底，導致有些不安全的網站卻被認證為安全。報告指出，透過自動化及人工實驗，研究人員發現第三方安全標章嚴重缺乏完整性及漏洞涵蓋面。安全人員分析網站的安全性，像是有無採用HttpOnly Cookies、Anti-CSRF Tokens或內容安全政策等安全措施，在具有安全信賴標章的網站中僅1/3的安全性統計上較顯著。

此外，安全人員發現，10家業者幾乎都是使用黑箱測試方法掃瞄網站，即僅透過攻擊找出漏洞，但無法深入了解網站程式撰寫上的問題，因此有安全標章的網站其實也有嚴重漏洞。例如，研究人員在獲允許進行滲透測試後，發現9個具有安全信賴標章的網站中有7個包含跨站攻擊（cross-site scripting, XSS）及SQL資料隱碼攻擊（SQL Injection）漏洞，4個受測網站有3個包含HTTP 參數竄改漏洞及應用執行流程（application-flow）漏洞。

研究人員認為，有時候這類標章反而引來網站攻擊。在兩個月的觀察期間，研究人員發現，所觀察的網站安全信賴標章來來去去，有的原本有標章後來消失，有的則是消失後又出現標章，雖然可能是出於網站與安全公司間的合約存續關係，但也可能指涉網站的安全性變化。安全人員指出，由於業者安全標章的檢測標準都差不多，像是檢查是否有某類檔案，或特定SQL Statement可以被執行。駭客了解這些檢測標準後，只要鎖定這些網站，就可以針對被標示不安全者進行攻擊。（編譯/林妍溱）

相關連結：石溪大學研究報告