2013年5月13日 星期一

專家:菲國網站開發缺乏嚴謹標準

專家:菲國網站開發缺乏嚴謹標準

資安專家指出,菲國政府在網站開發過程中缺乏嚴謹程序,可透過Google搜尋,或是在網頁位址結尾輸入特殊字元找到備份檔,從備份檔程式碼中找到管理者帳號、密碼,很容易被入侵。


專家指出透過Google搜尋就能找到網站備份檔,從程式碼中找到密碼

我國漁民遭菲律賓槍擊身亡引爆兩國駭客及網友的網路攻擊,國內資安專家分析菲國政府網站設計,認為菲國網站開發缺乏嚴謹的標準,網站安全強度不足,可供國內網站借鏡。

台灣與菲律賓兩國引爆網路戰爭,深入研究菲國政府網站被攻擊案例,阿碼科技創辦人黃耀文發現,菲國官方在網站開發上的安全意識並不高,許多政府官方網站開發使用一致的工具,PHP加上MySQL,網站開發過程中缺少嚴謹流程,導致網店安全風險增加,

他指出,菲國網站開發人員未遵循版本控制系統上傳修改,直接在網站或機器上修改再透過FTP上傳,會連同備份檔一起上傳,由於這些資料公開可透過Google hacking搜尋到,備份檔內曝露程式碼、資料庫帳號及密碼,增加網站被入侵的資安風險。

可能因為不嚴謹的網站管理,導致駭客組織Anonymous攻陷菲國DNS(dns.gov.ph)的手法,取得許多主機帳號、密碼,AnonTaiwan並公佈超過2300個菲國政府網域DNS管理者帳號密碼。

黃耀文表示,AnonTaiwan也公佈網域管理者的電子郵件、電話、住址等個資,可進一步作社交工程,有心者可對菲國政府網站發動大規模攻擊。雖然不清楚Anonymous實際攻陷DNS的手法,但很可能與菲國政府網站輕易曝露的資安風險有關。

另一名部落客X'sOin也以探討網站開發習慣角度,發現了相似的開發問題,他在個人部落格上指出,透過vim開發的使用者輕忽自動產生的備份檔,只要在網頁連結位址後方加入~特殊字元就能得到php原始碼,若再依據程式命名習慣猜測,可能找出內含資料庫帳號、密碼的程式碼,突顯網站是否養成良好開發習慣的問題。

還有一位不願具名的專家指出,這次衝突與先前楊淑君跆拳道事件同樣都是因愛國心所引發的網路攻擊行為,攻擊菲國網站不只有DDoS阻斷式攻擊,還包括從網站弱點入侵、寄發大量郵件炸彈等攻擊手法,雖然菲國後續以過濾IP等防護方式防堵攻擊,但只能阻擋基礎的攻擊,較高明的駭客還是能發動攻擊,只是時間上長短問題。

由於菲律賓反擊波及台灣民營公司網站,該名專家認為,雙方未來網路戰爭愈演愈烈,已有台灣企業相當緊張後續發展,擔心因兩國政府、網友的對立而波及到民間企業。「就好像打群架被捅一刀,誰不怕」,他說。

↓ 因網站開發缺乏嚴謹的標準,阿碼科技創辦人黃耀文指出,菲國政府網站透過Google Hacking就能找到備份檔程式碼,紅線為密碼。


↓ 備份檔內程式碼可找到密碼。


轉載自《iThome》

沒有留言:

張貼留言