專訪WhiteHat CTO：Web應用使邏輯漏洞危害更大

| | | | | | 2則回應

    

網頁應用程式安全評估專家、網頁應用程式安全聯盟(Web Application Security Consortium, WASC)創辦人、WhiteHat技術長Jeremiah Grossman今(27)日應OWASP(開放Web軟體安全計劃)台灣分會之邀，來台參與OWASP亞洲年會並發表演說。

一如眾家資安業者近來紛紛將重心移往Web威脅，Grossman亦認為，在網際網路、Web應用日益普遍的情況下，Web威脅已成為資訊安全極重要的一部分，但他認為，單純以弱點偵測、掃瞄工具針對網頁應用程式進行漏洞掃瞄雖可能解決如資料隱碼攻擊(SQL Injection)、跨站程式碼攻擊(XXS)等程式碼撰寫漏洞，但對於流程設計本身的缺陷--被他稱為商業邏輯漏洞(Business Logic Flaw)的弱點，才是提供網頁服務的業者更應小心留意的標的。

在大會前一日(9/26)Grossman接受了CNET的專訪，以下為訪談內容摘要：

問：從你的演講題目（編按：「未來資安大挑戰：邏輯漏洞」）看來，你此次來打算分享的內容似乎與一般我們常聽到的資安漏洞不大一樣，可否先談談到底你所謂的商業邏輯漏洞是什麼？

答：這是一個還蠻新的概念，過去大家談的網頁應用程式漏洞多半是資料隱碼攻擊(SQL Injection)、跨站程式碼攻擊(XSS)，或是跨站請求偽造(Cross-Site Request Forgery, CSRF)等，這些科技型漏洞(Tech Vulnerability)多半已受到足夠關注，也有專門的程式碼弱點檢測工具可以用來協助找出這些弱點，雖然近來的統計或排行都還常看到這些名詞，但我認為，在掃瞄工具與技術精進與普遍下，它們的重要性將漸漸消失。

至於我所謂的商業邏輯漏洞，簡單地說，是流程面，是無法用掃瞄的方式來發現的。舉例來說，改變帳號密碼便是一個流程問題，流程中可能會有漏洞，但這種漏洞不是來自於程式碼本身的缺陷，而是商業流程設計上的邏輯性問題，這種問題不是靠程式碼弱點掃瞄等技術就有辦法解決的。簡單地說，商業邏輯弱點是一種數學上無法解決(mathematically unsolvable)的問題。

問：有沒有你所謂商業邏輯漏洞的例子可以用來說明的？

答：這種例子太多了。舉例來說，有一家提供最新企業新聞資訊給訂戶的公司Business Wire，由於他放在網路上的新聞資料網址會採用一定的規則來編排，例如001、002的順序，如此一來，使用者便能夠預測下一個資訊的網址為何，並且搶先在新聞正式發佈前取得內容，而恰巧這些新聞資訊是有可能影響股價的。

雖然這家公司是在消息預定正式發佈的時間，才會在首頁公佈連結，但由於新聞內容多半已預先上載至伺服器，使得不少內容便因此提早洩露，一家發現這個漏洞的愛沙尼亞籍公司，甚至因為這些資訊而賺進數百萬美金。

此外，某些大型網站常見的安全設計，在特定情境下，也可能變得不安全。

舉例來說，大型入口網站多半都會有一種防止駭客測試密碼的設計，比如說在一定時間內密碼輸入錯誤超過五次，可能得再過一小時或數小時才能再登入，這種「鎖定」的設計本身其實是相當安全的。

可是，當這種設計若和目前被線上拍賣業者普遍採用的「出價前再輸入一次密碼」的確認機制放在一起的話，反而會形成漏洞。

舉例來說，我若看上某個拍賣中的手錶，於是便先出個低價，然後觀察有多少人也開始出價競標，當我搜集到我的競標對手的帳號後，我便可以另開視窗，用他們的帳號多次登入，讓他們的帳號被鎖住，並因而無法出價，其結果便是我能大幅提高我標到那只手錶的機會。

其他還有許多例子，像是美國知名電視台CNBC曾舉辦過獎金高達百萬美元的投資競賽，也是因為比賽流程設計有漏洞，讓使用者不必憑真本事，便可贏過其他參賽者，提高取得巨額獎金的機會。

問：但這些問題聽起來，似乎與傳統的業務流程設計漏洞似乎沒有太大的不同？

答：的確。一般企業內的業務流程設計的確也可能有缺失，但通常比較容易被發現，且影響的範圍通常不會太大，多半只是那些和特定流程相關的工作人員與客戶。

但這種流程設計邏輯上的漏洞若搬到網路上，則情況便大不相同。一個在網路上做生意的企業，若有類似的邏輯漏洞，則受影響的客戶可能是要以百萬來計算，後果與嚴重性完全不同，漏洞所產生的問題會因為web而被放大。(續下頁)

  繼續閱讀： 因應策略>>