近年來攻擊者常使用分散式阻斷服務攻擊,嘗試癱換目標網站

從去年開始,因為COVID-19疫情的影響,市場上吹起一股宅經濟旋風,人們對於電商平台與影音串流平台的使用率大幅增加。但線上交易網站或平台可能潛藏許多資訊安全問題。早在2016年,資安研究人員就曾向Uber通報安全漏洞[6],攻擊者能藉由暴力猜測,取得有使用次數限制且價值在五千至二萬五千美元的Uber折扣優惠碼。因此,線上交易網站從會員註冊(填寫個人資料)、登入到購買付費的過程中,若是網站存在安全弱點,便有可能遭惡意的攻擊者盜用,或是竊取個人與財務資料等重要資訊。

OWASP(The Open Web Application Security Project)是一個非營利組織,早期以研究、發佈網站應用程式安全為主[1],所提出的OWASP Top 10更是業界相當具參考性的指南。有些提供線上交易的系統平台,由於本身就存在弱點,像是知名電商平台Magento、Joomla套件和Wordpress套件,都曾被發現,存在著可被竊取資料庫資訊的SQL injection漏洞[2][3][4],而SQL injection便屬於OWASP TOP 10中,排名第一的資安風險:注入攻擊(Injection)[5]。

上述的Uber案例,攻擊者可透過不斷地重複猜測,取得折扣優惠碼的漏洞,便是屬於OWASP TOP 10中,排名第二的資安風險:無效的身分驗證(Broken Authentication)[7]。網站開發人員可將認證機制改為多重認證(MFA)機制,例如在可能被攻擊的頁面新增reCAPTCHA v3的防禦機制,將絕大多數的自動化攻擊程式無效化,或是加入帳戶鎖定機制,限制在一段時間內,使用者能輸入的次數,若使用者超過此次數,則需等待一段時間後才能再次登入操作。

然而,當今網站往往宣稱使用了安全加密通道(HTTPS),因此不會存在安全漏洞,但其實這僅僅避免OWASP TOP 10中,排名第三的資安風險:機敏資訊外洩(Sensitive Data Exposure)[8],透過安全加密連線,避免攻擊者中間人攻擊(Man-in-the-middle attack)、竊聽使用者的流量,取得帳號、密碼及信用卡號,但卻無法解決上述無效的身分驗證問題。

除了上述實際案例與OWASP常見的攻擊手法,會導致線上交易的安全問題之外,近年來攻擊者經常使用分散式阻斷服務攻擊(Distributed Denial of Service Attack),嘗試癱換目標網站,導致使用者無法連線到該網站,造成服務中斷與財務上的損失。在2017年初時,全台許多提供線上下單的證券商都分別收到來自駭客的勒索信件,收到恐嚇信的券商們立即向金管會報案,而在收到信的同一時段,部分券商也遭到駭客發動試探性DDoS攻擊,造成部分交易停擺。在駭客的信中表明,若不付款就會遭到後續的DDoS攻擊,在駭客的恐嚇下,有些中小型券商怕線上交易系統遭殃,就私下付款給駭客;但還是有不少證券商遭受到DDoS攻擊;因此,建立DDoS防禦與應變作業程序,並且每年辦理DDoS攻擊應變演練,才可有效降低遭受DDoS攻擊影響的時間與傷害。

為保護使用者個資與線上交易網站能正常營運,線上交易網站的經營企業需定期執行滲透測試與DDoS演練,確保現行的資安防護機制能正確運作,以阻擋攻擊者的攻擊行為。安華聯網的資安團隊可模擬真實駭客攻擊,能同時際控制超過1,000台來自全球不同34個國家的主機進行DDoS攻擊,同時執行多種第四層與第七層網路攻擊手法,並且根據客戶的需求設計自定義執行時間長度、流量大小、連線數數量及封包內容,最高可達到同一時間500G到1T的流量。無論是驗證系統對於DDoS攻擊的承載程度,或者是進行使用者連線數的壓力測試,安華聯網都可提供客戶最完整的網站安全檢測服務,解決各種客戶所面臨到的資安需求。

熱門新聞

Advertisement