資安周報第54期：3成重要政府官網不夠安全，恐因XSS漏洞害民眾

	每週二∼六出刊.2017.01.04   iThome產品技術報 下載PChome免費撥接
	本 期 目 錄 簡介/舊報明細 •資安周報第54期：3成重要政府官網不夠安全，恐因XSS漏 ... •主管沒說但你該懂的職場升遷術 優惠訊息 ． Data Science新手村攻略 ． 租虛擬主機架站，再附信箱 ． 前進吧！成為更好的自己 IT報告   資安周報第54期：3成重要政府官網不夠安全，恐因XSS漏洞害民眾 2016年網路攻防演練受測的府院等共35個演練機關中，有3成機關網站面臨XSS網站漏洞，也有管理員偷懶使用弱密碼以及廠商提供的預設帳密和路徑，置網路使用者安全於度外 2016年行政院資安處針對總統府、行政院、立法院、司法院、考試院及監察院等五院，直轄市及縣市政府為主共35個演練機關以及1646個系統進行網路攻防的實兵演練，並由行政院資通安全會報技術服務中心（簡稱技服中心）協助進行。 根據技服中心揭露的資料顯示，有超過3成的受測府院及縣市政府網站，都面臨跨站腳本程式攻擊（XSS），使用者只要瀏覽被駭客植入惡意程式的網頁，就會在本機端被植入惡意程式受害，甚至於，從技服中心的資料也發現，有部分網站管理員除了使用弱密碼，甚至還疑似沿用廠商提供的網站預設帳密及路徑，造成政府網站不安全。在政府網站多數都有許多重要的民眾資料和政策資料時，如此輕忽的作為，不僅缺乏資安意識，也置民眾網路使用安全於度外。 府院縣市政府受測35個機關中，有3成網站有XSS漏洞 政府進行的攻防演練主要是採用OWASP在2013年釋出的十大弱點測試手法加上應用程式或系統弱點，總計11項作為檢測政府機關系統弱點的標準，這也是各界進行弱點檢測的共通參考指標之一。 技服中心表示，2016年實兵演練中，可以發現政府機關普遍的弱點，占比最高的就是跨網站腳本攻擊（Cross Site Scripting，XSS）以及錯誤的安全性設定（Security Misconfiguration），占比都超過3成以上，這一般都和網站應用程式安全相關，而過往常見的SQL Injection弱點，2016年演練結果中，只有5％的機關有這樣的弱點。 有31.48％的機關都有發現XSS這樣的弱點類型，而這種攻擊手法主要是允許駭客將惡意程式碼（包含HTML和使用者端的腳本語言）注入到網頁上，當其他網路使用者瀏覽已經被注入惡意程式碼的網頁時，就會受到影響。 駭客幾乎可以藉此控制使用者端的瀏覽器，只要使用者瀏覽這些受害網站後，駭客就可以竊取使用者瀏覽器中的Cookie資訊，進而取得使用者更高的權限，可以冒用使用者身分進行一些網銀或者是郵件、部落格的服務，或者是竊取使用者才知道的私密網頁內容和其他對談資訊等。 以政府部門的網站設計來看，討論區是最常被駭客用來輸入XSS的攻擊字串，其他像是個人聯絡資料、蒐集欄位或者是網址參數等，也都常見此類攻擊手法。因此，技服中心則建議，政府部門負責網站的同仁都應該要過濾特殊符號，也應該設定可用的白名單與禁用的黑名單，才能確保瀏覽網站的網友安全。 有機關網站管理員使用弱密碼和廠商預設帳密和路徑 從技服中心提供的資訊顯示，有31.07％的政府部門普遍都有「錯誤的安全性設定」漏洞，最常是因為沒有關閉網站「顯示錯誤訊息功能」、「目錄瀏覽功能」，駭客就可以從這些顯示的資訊中，找到可以入侵系統的非公開資訊；另外常見的方式則是，啟用網站檔案上傳功能時，並沒有做好相關安全性設定，導致駭客可以上傳任意的惡意檔案，例如Webshell，以獲取系統權限。 出現這種漏洞風險的單位，除了使用弱密碼，也都可能會出現使用廠商提供預設帳號密碼以及路徑而沒有修改，使得駭客可以輕易透過測試字串，從網頁顯示的錯誤訊息中，輕易得知網站資料庫的欄目名稱資料。所以，要解決錯誤的安全性設定問題，技服中心便建議，要避免使用廠商提供預設的帳號密碼、路徑，以及關閉可以顯示網頁程式等錯誤訊息的服務外，也應該要限制所有上傳檔案的類型，都已經經過檔案驗證並確認檔案正確性，避免駭客成功上傳惡意程式。 另外，也有10.91％的政府機關發現，都有「遭破壞的認證與連線管理」弱點，最主要的常見原因，都是因為密碼強度不足，導致使用者無法正確執行身分認證和Session連線管理，造成駭客可以破壞系統的身分認證機制。 政府機關最常見的攻擊手法多是，在網頁系統登入頁面中，駭客可以輕易猜測管理員預設的帳號密碼都是admin，就可以順利登入系統管取得系統管理者的權限，這往往和密碼強度不足有關，導致使用者無法正確執行身分認證和Session連線管理，造成駭客可以破壞系統的身分認證機制。 從技服中心揭露的案例可以發現，許多機關因為偷懶，在設定網站的系統管理員的帳號和密碼時，甚至是使用廠商提供的預設帳號密碼而沒有做任何更改，輕易讓駭客取得系統管理者權限，實不可取。這就像是之前，有許多被駭客用來發動DDoS的網路攝影機一樣，因為駭客掌握製造商預設的帳號密碼，只要輸入這些預設帳號密碼，駭客就可以順利掌控系統、為所欲為。 不論是要解決3成機關網站面臨的錯誤的安全性設定問題，或者是1成機關網站面臨「遭破壞的認證與連線管理」弱點，從技服中心的建議中都可以發現，只要使用強密碼，並且不要使用廠商提供的預設帳號密碼，都可以有效提升網站的安全性。因此，技服中心強烈建議，除了應該改用8個字母以上，英數大小寫字母或特殊符號混雜、且不句任何有意義單字的強密碼外，政府部門在管理不同的網站時，也應該使用不同管理者密碼，更重要的是，一定要落實定期更新密碼，以確保網站系統的安全性。 　閱讀全文 書摘   主管沒說但你該懂的職場升遷術 加薪升遷這檔事，高層的眼睛不一定是雪亮的，所以員工可要自己學聰明 對於薪水這件事，老闆都很會裝傻，你可不要也跟著發傻。 我認識的Shirley 勤奮認真，她在一家化妝品代理商任職，主要是負責與通路聯絡，包括網路或實體店家，並涵蓋國內外通路，由於時差關係，常常把工作帶回家做，晚上還不時接老闆電話，Shirley 認為老闆的眼睛是雪亮的，一定會看到。的確！老闆是看到了她的任勞任怨，所以能者多勞，其他同事不想做的爛差事全掉到她頭上。 可是……薪水呢？老闆的眼睛是雪亮的，心卻瞎了，完全沒感受到Shirley一心盼望老闆能主動加薪的心意。 才做過一年，加薪五倍？ 「想加薪，就開口去講啊！」同學朋友都這麼勸Shirley。 「我要等老闆主動提，才表示他對我的肯定，這很重要！如果我去提，就沒意思了。」同學朋友一聽，都做昏倒狀……。 Shirley等啊等，一等兩年，只等到兩次全公司加薪，總共三千四百元。和Shirley同一梯的Renee兩年前離職，換過兩家公司，回鍋後的敘薪比起兩年前足足多出一萬七千元，加薪幅度是Shirley 的五倍！更讓Shirley 難受的是，Renee現在是她的主管。 「不公平！我守著這家公司做死做活，比起那些到處跳槽的人，薪水少、職位低，難道公司都希望我們一一離職嗎？」Shirley 氣憤難當的抱怨。 「你有去向老闆反映這個不公平嗎？」我問Shirley。 「老闆的眼睛是雪亮的，難道他看不出來嗎？」Shirley回答。 這就是癥結所在！老闆當然明白這個道理，可是員工不反映，他就會硬拗成大家都接受這個殘酷的現實。說穿了，不就是「員工發傻，老闆就裝傻」！ 你要做阿貓，還是阿狗？ Shirley 認真勤奮，好人沒有好報讓人心疼，氣的是有些老闆還真會欺負好人，尤其忠貞本分、默默耕耘的老員工。不過生氣無濟於事，而是必須認清楚老闆裝傻是普遍的事實，可是做為員工卻不能發傻，變成一名鬱悶不快樂的上班族，更讓人心痛。 Shirley和主管Renee 是不同典型的上班族，Shirley 預期的職涯發展路線是直線型，相信組織與老闆，認為只要在一家公司穩定發展，表現認真，老闆一定會看得到，給予往上爬升的機會，包括薪水與職位。 這種上班族是狗型，對組織忠誠，穩定度高，沒有訓練就不講規矩，經過訓練後卻很好使喚。他們可以當寵物，非常信賴主人，跟隨在老闆身邊，期待老闆的關愛眼神，隨時丟給一根骨頭就可以喜滋滋啃咬半天，而唯一的戰場是平地。 Renee期待的職涯發展是Z字型，他對公司與老闆不太能信賴，認為一直待在同一家公司的能力與經驗累積有限，薪水與職位只能小幅調動，必須靠跳槽突破瓶頸，因此職涯就這麼跳來跳去，呈現Z字型。 這種上班族是貓型，對自己忠誠，只愛自己，弓著背優雅的走過，理睬主人時靠過來，不想理時離得遠遠的，在意的是自己的履歷是否漂亮，如果需要犒賞，會自己去買一顆鑽戒。很少腳踩平地，而是到處跳躍，屋頂、圍牆……，何處不是家？ 　閱讀全文 前期文章 全部歷史文章 出刊日期 出刊主題 2017-01-03 令人腦殘的程式語言 2016-12-31 【洪士灝觀點】革自己和世界命... 2016-12-30 【客座文章】不是不爆，時候未... 2016-12-29 瞄準容器混搭平臺，Kubernetes... 主編推薦   •大戶欽點10檔雞年潛力股 •核食公聽會亂搞傳小英暴怒 •一起飛到韓國走跳旅遊去！ •超夢幻！香港遊必買伴手禮 我要訂閱這份報紙 我要取消這份報紙 訂報說明 ．本電子報內容由 iThome online 提供 PChome ePaper 電子報版權所有，關於電子報發送有任何疑問，請聯絡 客服中心
	．廣告刊登 ．消費者保護 ．兒童網路安全 ．關於PChome ．徵人 網路家庭版權所有、轉載必究 Copyrightc PChome Online