精誠資訊網站傳漏洞 遭植入惡意連結

| | | | | | 7則回應

    

國內SI龍頭精誠資訊是在昨(6)日，被資安資訊網站「大砲開講」披露，指其商業軟體網頁遭植入惡意連結，並在同日被國際XSS漏洞通報網站「XSSed」通報，指精誠本身的首頁具有XSS漏洞。精誠資訊精誠資訊IT服務中心資訊基礎設施維運處資深處長李環祐坦承網站的確存在漏洞，並表示已盡力修復中，但在完全修復前，無法保證瀏覽用戶的安全性。

精誠被發現的XSS漏洞，是一種網頁程式撰寫的漏洞，指網頁應用程式允許使用者在頁面上的公開欄位（如留言板）輸入程式碼，導致其他的使用者會在瀏覽網頁時，受到這些程式碼的影響，例如被導向其他網頁，或在用戶端執行JavaScript，進而執行任何惡意行為等。

2006年，美國知名社群網站MySpace便曾傳出駭客Samy利用該手法竊取上百萬人的cookies，並藉以假冒本尊以竄改使用者個人檔案，而XSS也被資安組織列為2007年的十大Web資安漏洞之首。

值得注意的是，XSS漏洞已是資安界持續了近兩年的議題，對於精誠資訊這家代理多款足以解決XSS問題產品的公司來說，實在是一大諷刺。

舉例來說，精誠代理的HP WebInspect、阿碼科技CodeSecure等軟體產品，都可用來檢測程式碼中的安全漏洞，而精誠亦有在銷售的網頁應用程式防火牆NetContinuum及UTM產品Check Point等，其實也能夠阻擋利用XSS的可能攻擊。

對此精誠科技資安產品經理許鴻源表示，對外銷售與內部系統維運分屬不同部門，各自運作，不便代替其他部門發言。

李環祐則表示，目前精誠的網站系統都是三年以前外包建置的，當時的程式碼開發流程及系統架構的安全性設計與現今的要求早已不可同日而語，他表示，其實今(2008)年初該公司已發現部分網頁可能存在安全性漏洞問題，並開始著手進行網頁安全性改善計劃，「還沒全部完成，所以才會被發現漏洞，」他說。

資安企業本身爆發資安事件並非頭一遭。防毒大廠趨勢科技便在今年三月間因舊網頁漏洞，遭到SQL Injection攻擊，旗下亦有防毒軟體的微軟英國網站與CA(組合國際)也分別在去年七月及今年一月分別傳出遭SQL Injection攻擊的事件。

李環祐表示，目前已採用弱點偵測工具針對網站弱點作整體性分析評估，以便儘速改寫有問題的程式碼，部分問題網頁則已先行關閉，進行修正，不過由於網站系統十分龐雜，且部分當初開發時的文件並未留存，因此必須花費較多時間分析程式，至於何時才會完工，他則表示很難預估。

李環祐表示，精誠目前打算趁著網站改版的規劃，將網站開發與維運工作全部收回來自己做，並將擬定新的安全性政策，以從程式開發起就能確保系統的安全性。