小心踏入Web 2.0網路陷阱

| | | | | | 留下回應

    

•「部落格大開惡意程式方便之門」

有人在你的部落格留言，為了禮尚往來幫他衝人氣，你通常也會到對方部落格留言。然而如果這網站有著 iFrame 安全弱點，如日前的義大利逾千個網站遭入侵案例，「只要看一眼」便會觸發一連串的惡意程式不請自來。

•「交友網站內藏蠕蟲」

許多網友會被交友網站中超高人氣的個人介紹所吸引，而進一步瀏覽相關個人資料。曾有十九歲駭客Samy Kamkar在知名度極高的交友網站MySpace上，放上與個人簡介資料同名的蠕蟲「Samy」，導致瀏覽過該資料的上百萬網友不知不覺便中了病毒！

•「網路交友當心資料遭竊」

在網路上透露個人所有秘密，包含你是王建民的頭號粉絲、你喜歡用網路進行股票交易等，殊不知簡單的交談卻容易惹來大麻煩。International Security Partners曾經成功模擬並執行的案例發現，駭客可以假裝到交友網站結識網友，在瞭解其興趣後取得信任，比如傳送「最喜歡的棒球選手即將被交易至其他球隊！」的運動網站報導連結，並暗中發動XSRF(Cross-site Reference Forgery跨網站參照偽造)攻擊，藉以冒用受害網友的身份驗證資料，轉帳結清他原來的帳戶餘額。

•「免費的禮物變炸彈」

另外，還有某影片網站在造訪時會跳出必須下載影片解碼程式才能觀賞影片的視窗，事實上網友一按下下載的並非解碼程式，而是稱為Freeloaders的「黑心軟體」，它會反覆警告網友已經感染某種形態的惡意程式，並提供「免費試用」功能，然後再進一步要求網友付費升級以獲得完整功能。待網友發現這些線上刷卡購買的軟體毫無用處時，信用卡資料早已被這些虛設的公司盜走了！

防護也要與時俱進

上述現象其實這也不是Web 2.0時代才發生，只是新的網頁技術工具的漏洞及社群互動特性等，使駭客更加有隙可乘。舉例來說，以HTML製作網頁，使用者必須重新載入網頁才能檢視更新的資料集，若使用AJAX即可大幅縮短載入時間，並加強與應用程式的互動效果。然而由於AJAX程式碼的利用加上能發佈在任何網站的自由彈性，使得合法網站與惡意網站愈來愈模糊難辨，也為駭客創造出更廣泛的攻擊面，目前已經發現AJAX已被用於XSS與XSRF攻擊。而這種攻擊已不是傳統靜態網址過濾技術可以防止。因此更新的防護措施應運而生。

『網頁信譽評等技術』就是其中之一。以我們家的技術而言，它是動態匯集、監視及評估一份完整的註冊網域名稱清單，並根據網域名稱註冊人資訊 (註冊IP位址時必須提供的公開資訊) 加以檢查，這是因為在監控網站註冊人與網站主機位置等資訊一段時間之後，即能產生有關特定網域可靠性的參考資訊。舉例來說，經常變換位置可能是網站安全性堪慮的重要指標，因為駭客會頻頻變更IP位址的實體位置以躲避偵測。此外，新網站若吸引異常高數量的點閱率也會引起警戒，因為這可能是病毒產生的流量傳輸至特定網站的跡象。其他指標如地理位置，也能作為特定網站的可靠性或合法性的參考資訊。當然，確認網站安全與否，還仰賴其他已知網路釣魚、網站嫁接以及其他惡意網址的資料庫來檢查網站。

對大部分網友而言，Web 2.0的發展具有革命性意義，然而，在享受更新奇的網路服務的同時，請小心無所不在的陷阱。