Web安全成新焦點

| | | | | | 留下回應

    

隨著電子商務以及企業入口網站的使用日愈頻繁，導致網站一方面成為攻擊對象，另一方面成為傳播安全威脅的途徑。而各路安全廠商，像是內容過濾、防火牆、防毒廠商也紛紛開始注重防範經由網際網路而來的威脅。

Checkpoint代理商之一精誠產品經理胡志鴻指出，駭客型病毒，像是Nimda、Sobig等應用層攻擊成為主流後，網頁伺服器往往成為攻擊對象，或被當成攻擊跳板。然而他指出，傳統防火牆只能偵測到流量的合法與否，無法解讀封包內容，容易遭到拒絕服務(DoS)攻擊，導致整個網站癱患。

他補充，這在現今電子商務網站上尤其危險，因為此類網站的網頁伺服器(Web server)開放給外人存取。

除了修補網頁伺服器等弱點，精誠也強調防火牆應具有應用程式的防護能力。Checkpoint在原有防火牆產品上附加Web防護技術Web Intelligence。胡志鴻表示，Checkpoint配合新增的應用安全模組，設立一個虛擬系統，以檢查出流量裡含有的可執行程式呼叫，藉以防止緩衝區溢滿(Buffer overflow)攻擊與檢測Web通訊中潛在的惡意行為。而其他防火牆甚至入侵偵測產品，也都強化了對Web應用的防護。

其他Web應用的問題在於安全考量不週。例如，如果某家銀行授信系統的網址採用明碼，因此外人只要輸入流水號，或資料隱碼攻擊(SQL Injection)，就有可能偷窺到該銀行的客戶資料。胡志鴻指出，誰有權存取Web應用，也會帶動企業對身份管理(Identity Management)的重視。

另一方面，網站本身可能成為安全威脅傳播的途徑；此為現在於在全球熱門議題──網路釣魚（phishing）。網路釣魚一方面是誘騙使用者輸入帳戶或密碼等機密資料，另一方面則可讓病毒藉機進入使用者電腦。

安全軟體公司Websense技術顧問林皇興表示，Web應用容易竄改，一旦有心人士設立假冒某家銀行的網頁，插入惡意程式碼，則不明就裡連到這個網站的使用者電腦就可能被植入間諜軟體，甚至後門程式。

Websense以網頁過濾技術起家，提供企業防止員工存取包括色情、賭博等類型網站的URL資料庫。因應網路釣魚的興起，Websense也將冒牌網頁或有害網頁加入防範類別。

同樣地，防毒軟體公司趨勢科技也表示Web應用為防毒的新領域。趨勢科技將會在PC-cillin 2005加入反釣魚資料庫，藉由有害網頁資料庫的提供及更新，防範電腦使用者不慎連到該網頁。