資安周報第54期：3成重要政府官網不夠安全，恐因XSS漏洞害民眾

	每日出刊.2017.01.02   iThome每日新聞報
	本 期 目 錄 簡介/舊報明細 •資安周報第54期：3成重要政府官網不夠安全，恐因XSS漏 ... •Fintech雙周報第11期：DeepMind也要發展區塊鏈技術， ... •Container雙周報：Docker將容器基礎元件containerd開 ... •百萬會員電商平臺大改造，東京著衣品牌再造先從IT做起 優惠訊息 ． Data Science新手村攻略 ． 行銷！就用中文網址輔助 ． 租虛擬主機架站，再附信箱 IT報告   資安周報第54期：3成重要政府官網不夠安全，恐因XSS漏洞害民眾 今年網路攻防演練受測的府院等共35個演練機關中，有3成機關網站面臨XSS網站漏洞，也有管理員偷懶使用弱密碼以及廠商提供的預設帳密和路徑，置網路使用者安全於度外 今年行政院資安處針對總統府、行政院、立法院、司法院、考試院及監察院等五院，直轄市及縣市政府為主共35個演練機關以及1646個系統進行網路攻防的實兵演練，並由行政院資通安全會報技術服務中心（簡稱技服中心）協助進行。 根據技服中心揭露的資料顯示，有超過3成的受測府院及縣市政府網站，都面臨跨站腳本程式攻擊（XSS），使用者只要瀏覽被駭客植入惡意程式的網頁，就會在本機端被植入惡意程式受害，甚至於，從技服中心的資料也發現，有部分網站管理員除了使用弱密碼，甚至還疑似沿用廠商提供的網站預設帳密及路徑，造成政府網站不安全。在政府網站多數都有許多重要的民眾資料和政策資料時，如此輕忽的作為，不僅缺乏資安意識，也置民眾網路使用安全於度外。 府院縣市政府受測35個機關中，有3成網站有XSS漏洞 政府進行的攻防演練主要是採用OWASP在2013年釋出的十大弱點測試手法加上應用程式或系統弱點，總計11項作為檢測政府機關系統弱點的標準，這也是各界進行弱點檢測的共通參考指標之一。 技服中心表示，今年實兵演練中，可以發現政府機關普遍的弱點，占比最高的就是跨網站腳本攻擊（Cross Site Scripting，XSS）以及錯誤的安全性設定（Security Misconfiguration），占比都超過3成以上，這一般都和網站應用程式安全相關，而過往常見的SQL Injection弱點，今年演練結果中，只有5％的機關有這樣的弱點。 有31.48％的機關都有發現XSS這樣的弱點類型，而這種攻擊手法主要是允許駭客將惡意程式碼（包含HTML和使用者端的腳本語言）注入到網頁上，當其他網路使用者瀏覽已經被注入惡意程式碼的網頁時，就會受到影響。 駭客幾乎可以藉此控制使用者端的瀏覽器，只要使用者瀏覽這些受害網站後，駭客就可以竊取使用者瀏覽器中的Cookie資訊，進而取得使用者更高的權限，可以冒用使用者身分進行一些網銀或者是郵件、部落格的服務，或者是竊取使用者才知道的私密網頁內容和其他對談資訊等。 以政府部門的網站設計來看，討論區是最常被駭客用來輸入XSS的攻擊字串，其他像是個人聯絡資料、蒐集欄位或者是網址參數等，也都常見此類攻擊手法。因此，技服中心則建議，政府部門負責網站的同仁都應該要過濾特殊符號，也應該設定可用的白名單與禁用的黑名單，才能確保瀏覽網站的網友安全。 有機關網站管理員使用弱密碼和廠商預設帳密和路徑 從技服中心提供的資訊顯示，有31.07％的政府部門普遍都有「錯誤的安全性設定」漏洞，最常是因為沒有關閉網站「顯示錯誤訊息功能」、「目錄瀏覽功能」，駭客就可以從這些顯示的資訊中，找到可以入侵系統的非公開資訊；另外常見的方式則是，啟用網站檔案上傳功能時，並沒有做好相關安全性設定，導致駭客可以上傳任意的惡意檔案，例如Webshell，以獲取系統權限。 出現這種漏洞風險的單位，除了使用弱密碼，也都可能會出現使用廠商提供預設帳號密碼以及路徑而沒有修改，使得駭客可以輕易透過測試字串，從網頁顯示的錯誤訊息中，輕易得知網站資料庫的欄目名稱資料。所以，要解決錯誤的安全性設定問題，技服中心便建議，要避免使用廠商提供預設的帳號密碼、路徑，以及關閉可以顯示網頁程式等錯誤訊息的服務外，也應該要限制所有上傳檔案的類型，都已經經過檔案驗證並確認檔案正確性，避免駭客成功上傳惡意程式。 另外，也有10.91％的政府機關發現，都有「遭破壞的認證與連線管理」弱點，最主要的常見原因，都是因為密碼強度不足，導致使用者無法正確執行身分認證和Session連線管理，造成駭客可以破壞系統的身分認證機制。 政府機關最常見的攻擊手法多是，在網頁系統登入頁面中，駭客可以輕易猜測管理員預設的帳號密碼都是admin，就可以順利登入系統管取得系統管理者的權限，這往往和密碼強度不足有關，導致使用者無法正確執行身分認證和Session連線管理，造成駭客可以破壞系統的身分認證機制。 從技服中心揭露的案例可以發現，許多機關因為偷懶，在設定網站的系統管理員的帳號和密碼時，甚至是使用廠商提供的預設帳號密碼而沒有做任何更改，輕易讓駭客取得系統管理者權限，實不可取。這就像是之前，有許多被駭客用來發動DDoS的網路攝影機一樣，因為駭客掌握製造商預設的帳號密碼，只要輸入這些預設帳號密碼，駭客就可以順利掌控系統、為所欲為。 不論是要解決3成機關網站面臨的錯誤的安全性設定問題，或者是1成機關網站面臨「遭破壞的認證與連線管理」弱點，從技服中心的建議中都可以發現，只要使用強密碼，並且不要使用廠商提供的預設帳號密碼，都可以有效提升網站的安全性。因此，技服中心強烈建議，除了應該改用8個字母以上，英數大小寫字母或特殊符號混雜、且不句任何有意義單字的強密碼外，政府部門在管理不同的網站時，也應該使用不同管理者密碼，更重要的是，一定要落實定期更新密碼，以確保網站系統的安全性。 　閱讀全文 Fintech雙周報第11期：DeepMind也要發展區塊鏈技術，保障醫療隱私 DeepMind打算將區塊鏈分散式帳本的概念，應用在醫療保健上，保存病人的敏感資料。此外，臺灣的監理沙盒修法案又有進展，在財委會審查中凝聚出共識，將監理沙盒改稱「金融科技創新」。美國央行在區塊鏈技術上也十分積極，釋出首份分散式帳本的研究 重點新聞（12月10日-12月23日） DeepMind也要發展區塊鏈技術，保障醫療隱私 Alphabet旗下的人工智慧公司DeepMind，該公司的共同創辦人Mustafa Suleyman宣布，DeepMind正在尋求類似區塊鏈的方式，應用在醫療保健上，保存病人的敏感資料。11月時，DeepMind跟英國的公醫制度（NHS）簽暑了一份5年的新合約，要將病人資料無紙化，並且用來辨別急性腎損傷的風險，而DeepMind發展區塊鏈技術就跟這份合約有關。 Mustafa Suleyman表示，他們正往透明化的架構發展，要用一種分散式、不可竄改的方式，來監控閱覽資料的權限，以及觀看資料的時間。病人可以看到自己資料被誰閱覽多少時間。此消息一出，引發不少有關醫療隱私的爭辯，DeepMind也承受不少質疑。目前，雙方合作的醫療保健計畫延攬了資安工程師以及加密技術者Ben Laurie，來研發資料透明化與資安問題，同時也持續招攬區塊鏈的專業人才。 監理沙盒7大修法共識出爐，改稱「金融科技創新」換思維 監理沙盒（Regulatory Sandbox）機制，正如火如荼地進行修法階段，目前版本有金管會提出的修改金融消費者保護法（金消法）一法，以及立委曾銘宗、余宛如、許毓仁以及賴士葆等人各自提出的修法版本。12月19日通過財委會初審，凝聚7大共識，將監理沙盒的精神融入金融8部法中，並將監理沙盒更名為「金融科技創新」。 7大共識包含主管機關應成立專案辦公室來負責監理沙盒的運行。主管機關在受理監理沙盒申請案件後的60天內，要完成審查並通知申請人。而在沙盒實驗中，有具體事項足以認定會危害金融市場以及金融消費者權益時，主管機關得命令申請者停止實驗。也明訂適用對象以及出沙盒後的輔導機制。接下來監理沙盒還需面對二讀、三讀的程序。 更多新聞：監理沙盒新進展，7大修法共識出爐，改稱「金融科技創新」換思維 美國央行釋出首份分散式帳本研究 聯邦儲蓄系統（The Federal Reserve）隸屬美國央行體系，近期他們釋出首份有關分散式帳本的研究報告，投入的團隊包含聯邦儲蓄委員會、紐約以及芝加哥的聯邦儲備銀行，主要研究分散式帳本技術在支付、交易清算上的應用，並瞭解在實際採用時會面臨的機會與挑戰。 兩個月前，聯邦儲備理事長Lael Brainard表示，央行對分散式帳本很有興趣，並打算深入研究此領域。兩個月後報告就釋出，顯示央行十分重視該技術。報告一共採訪了30位來自公私部門、相關公司及新創的代表，並從廣泛的角度來看區塊鏈技術，以及金融公司、清算系統要採用時會面臨的整合問題等。 　閱讀全文 Container雙周報：Docker將容器基礎元件containerd開源 根據Docker目前的規畫，containerd 1.0預計會在明年第二季出爐，屆時不論是Docker或其他容器系統業者，都可利用containerd作為核心的容器runtime 重點新聞（12月10日-12月23日） Docker將containerd開源，雲端四龍頭都要參與開發 Docker宣布將Docker Engine中的核心元件containerd獨立為新的開放源碼專案，包括Alibaba Cloud、AWS、Google、IBM及微軟都已承諾願意成為該專案的貢獻者及維護者。此外，明年初containerd將進一步成為中立的基礎，以讓業者可在共通的基礎上打造自己的容器管理軟體。 Docker創辦人暨技術長Solomon Hykes表示，Docker已成長為一個完整的平臺，仰賴它建置、遞送與執行分散式應用，功能從調度到基礎架構，核心的容器runtime只是其中的一小部份。雖然數百萬的開發人員想要的就是完整的平臺，但許多平臺建置商或營運商卻只需要一個最基本的元件，以便能在自家系統中執行容器，而containerd即符合此一需求。 支援Linux及Windows的containerd 1.0將提供用來管理容器的各種核心功能，包括容器執行與監督、映像檔的遞送、網路介面管理、本地儲存、原生管道水平的API，以及對Open Container Initiative（OCI）的完整支援等。根據Docker目前的規畫，containerd 1.0預計會在明年第二季出爐。更多資訊 Docker釋出Azure版Docker公測版本 在AWS版Docker（Docker for AWS）釋出公開測試版後，Docker也推出了Azure版Docker（Docker for Azure）公開測試版，提供IT人員在Azure平臺上部署Docker時的安裝、維護安全性與可擴充性。 Azure版Docker在6個月前還在封閉測試階段，現在終於釋出公開測試版，能直接在用戶的Azure儲存帳號中儲存容器日誌記錄，也提供用戶Docker診斷工具，當有堆疊（Stack）或資源群組（Resource Group）運作不正常時，會寄送Log記錄至Docker。 另外，Docker for AWS和Docker for Azure目前都僅支援Linux平臺的Swarm叢集，Windows Server平臺則將在Windows Server版Docker（Docker on Windows Server）發展成熟後開始支援。更多資訊 Kubernetes 1.5版本釋出，首先支援Windows Server Container 暨9月Gogole釋出Kubernetes 1.4版本，靠2指令就能部署一套容器叢集，以及新增跨叢集、跨雲環境部署後，近日也推出了1.5版，其中的重要亮點在於，它是目前唯一市面上能支援Windows Server Container的容器調度工具，甚至還相容於Windows Server 2016平臺。 在新版本中，Kubernetes總共新增了2組Beta功能：StatefulSet以及PodDisruptionBudget。Google表示，StatefulSet是一組控制器，用於辨別叢集中，不同節點（Pod）的身份，「透過它來安排系統部署、水平擴充的順序。」第二個Beta功能則是PodDisruptionBudget。Google表示，它是一組API物件，在系統運行時，此功能會確保叢集維持運作一定數目、比例的複本（replica），應用程式部署者可以確保系統不會同時關閉過多節點，導致遺失資料的狀況發生。更多資訊 　閱讀全文 人物專訪   百萬會員電商平臺大改造，東京著衣品牌再造先從IT做起 擁有百萬會員的網路原生女裝電商品牌東京著衣，在新團隊入主後，要重整資訊架構，推出新版官網，並優先導入BI系統 許峰維　東京著衣資訊管理處協理 點開雅虎奇摩拍賣的銷售排行榜，女裝商品一直都是獨佔鰲頭的品項。而臺灣最早且規模最大的雅虎奇摩更是許多女裝品牌、網路原生店家的發跡處。東京著衣這個創立至今12個年頭的女裝品牌，也是由此奠定基礎，打進臺灣電子商務市場，還連年獲得雅虎奇摩拍賣評價第一名，累積的商譽十分可觀。 近年來，除了國內的女裝電商品牌競爭激烈外，各國的快時尚品牌也壓境臺灣，它們不僅快、迅速掌握流行指標，更在價格、品質上給臺灣品牌帶來莫大的壓力。「我們期望新品上架的時間越短越好。」東京著衣資訊管理處協理許峰維這麼說著，他在今年9月加入東京著衣資訊管理處，跟著6月份才入主的新經營團隊一起打拼，他們肩負著東京著衣品牌的響亮名號，在快時尚的戰場上繼續競逐女裝電商的龍頭寶座。 東京著衣在易主後的半年內就跨出第一步，在12月8日宣布品牌重塑（Re-Branding），公開新經營團隊、全新的品牌識別設計、品牌新作之外，同時也推出響應式（RWD）的網站。 許峰維表示，新的網站將原本分開的PC版與手機版的網站整合在一起，資訊人員未來只要維護一套系統，並且也藉此將購物流程整體優化，讓消費者將商品加入購物車後的流程更加簡單。 品牌重塑代表著東京著衣脫胎換骨的決心，其內部系統的整合與建構也是資訊處的首要目標，許峰維表示，資訊處正在招募程式設計的新血，要重新建構公司內部的資訊系統。 他透露：「東京著衣現在的資訊架構，可以用疊床架屋形容，但不能說是前人的錯，而是多年來完成各種階段性任務的結果。」因為東京著衣由拍賣起家，一開始使用的是雅虎奇摩的網站系統，後來規模擴大後才慢慢自建系統，導致許多東西是因應當時的需求而建，這樣的架構也成為團隊在開發新功能時的痛點與障礙。因此，他們正在積極調整內部資訊系統的體質。許峰維表示，正進行系統架構的優化、增加移動作業的能力。 他透露，接管資訊處僅短短3個月，但團隊的速度是他所待過公司最快的，現正規畫多個系統整合與優化的內涵，包括了導入商業智慧（Business Intelligence，BI），改善作業流程、加快決策速度。同時也評估導入CRM系統、APP建構等。 東京著衣更打算將部分主機虛擬化來強化管理，並也評估雲端解決方案，將部分系統上雲端。 此外，最快明年底至後年間，就會設立「數據分析部門」，要用大數據與社群連結，提供消費者更精準的服務。 上百萬筆會員資料，首用BI瞭解會員、加速決策 關於東京著衣的資訊架構，除了可用疊床架屋來形容外，整體的資訊現況，許峰維更引用董事長靜婷所說的「百廢待舉」來形容，「原本資訊處工作時間的分配比例，應該是要維持80%的維運與20%的創新，但因為現況百廢待舉，使得資訊處的工作時間分配比例可以說是完全倒過來。」更何況現在電商腳步飛快，東京著衣也必須快馬加鞭進行改革，因此，團隊現正以20%的時間維運，再加上80%的創新來因應現況。要改革舊系統，首先進行系統架構的「盤點」，然後評估新系統的導入可能以及挑戰。 東京著衣目前有一百多萬的會員量，這是他們能在女裝電商業致勝突圍的關鍵優勢，因此新團隊正嘗試進行會員資料的分析，建立會員的輪廓，直接快狠準的進行行銷。許峰維指出，近期如火如荼評估中的BI系統就是可以即時產出產銷報表，讓高階主管可以快速決策。除了更瞭解會員的消費數據外，也可以加速整個作業流程，讓上架販售的時間不斷縮短。 「之前，我們要知道一項新品進來後的售罄率如何，都是用人工把資料撈出來後，再用Excel去做資料整理。」費時費力外，更缺乏彈性。不過，導入BI系統之後，在跨部門主管會議之前，部門主管不需要再另外花時間從各種報表中撈取所需的數據，然後加工。未來各項銷售資料、產品開發的數據，直接用BI系統設定好的模版，在會議當下直接產出即時的數據，進行簡報，省時又可省去事前整理資料的工程。 而且，還能夠即時切換到不同的維度或條件，「如果老闆要找銷售數字前300大的品項，直接點擊下去就可以即時追蹤了。」他預估，導入BI系統後，至少可以減少一倍以上的時間成本。 不過，也因為舊系統的架構不夠簡潔，也使得導入BI系統時面臨不少挑戰。許峰維透露，他們一開始所採用的BI系統服務廠商，在技術層面比較薄弱，他在某個晚上九點多，收到DBA（資料庫管理員）跟專案管理部的同仁傳來的求救訊息，表示資料整理不完，因為該BI系統廠商要求要先人工將資料整理成Excel檔後，才能匯入該BI系統中，但是一百多萬的會員累積起來的資料是很可觀的。他認為，要求先整理資料是完全不符合系統導入的成本效益，「以資訊系統的觀點來說，我完全無法忍受這樣的狀況。」在選擇另一家BI系統廠商的服務後，問題才獲得解決。 「資訊是一門應用科學，其實最主要是解決人的問題。」許峰維強調，從設計領域跨到資訊領域，他秉持著相同的解決方法論：「以人為本」，設計更讓他可以跳脫工程師對程式的執著，可以從不同角度角度去看事情。 他認為，資訊系統就是要減少作業流程上的人力需求，把複雜的運算交給資訊系統，讓人工以及經營團隊聚焦在決策，才是高效率的經營方式。 　閱讀全文 前期文章 全部歷史文章 出刊日期 出刊主題 2017-01-01 全臺最大雲端資料中心登場 2016-12-30 華碩機器人Zenbo能自主移動與... 2016-12-29 明年1月起，Chrome 56將標記含... 2016-12-28 IBM加入Serverless戰局，推出O... 主編推薦   •大戶欽點10檔雞年潛力股 •核食公聽會亂搞傳小英暴怒 •一起飛到韓國走跳旅遊去！ •超夢幻！香港遊必買伴手禮 我要訂閱這份報紙 我要取消這份報紙 訂報說明 ．本電子報內容由 iThome online 提供 PChome ePaper 電子報版權所有，關於電子報發送有任何疑問，請聯絡 客服中心
	．廣告刊登 ．消費者保護 ．兒童網路安全 ．關於PChome ．徵人 網路家庭版權所有、轉載必究 Copyrightc PChome Online