網站運作包含三大部分:
第一是接受網路HTTP(S)請求並回應的網站伺服程式,如:Apache、Nginx、IIS、Node.js... 等。
第二是網站設計採用的程式語言、第三方套件或架站套裝軟體,如HTML、PHP、ASP、jQuery、XML、Javascript、Node.js、Wordpress、Joomla... 等。
第三是網站後台的資料庫系統,如MySql、MariaDB、MS SQL、PostgreSQL... 等。
整個網站在提供服務時以上三者是緊密相關的,這三大部分可能分別存在著不同的安全漏洞,透過主機弱點掃描工具可判讀網站伺服程式及資料庫系統軟體版本提出修補建議,對自行開發或是採用第三方架站軟體所開發的網站則要透過網站應用程式弱點掃描工具或是源碼檢測工具來發現漏洞。
網站所在的主機環境,包含了作業系統、提供的網站服務的相關套件以及開放的連線方式。
常見的作業系統可分成Linux及Windows兩大類。Linux又可分為免費的Community版本以及需要付費的商業版本,這要看各個廠商所使用的版本為何。一般常見的有 Ubuntu、CentOS、Debian、Redhat、SUSE、Rocky... 等。而微軟的Windows Server 則都是要另外付費購買的作業系統,需要注意的是作業系統版本是否仍是微軟官方的維護項目中,如果已經停止更新支援也不建議使用。
主機上的套件提供了對外開放的連線方式以及網站運作的必要軟體,如提供大眾服務的連接埠HTTP/HTTPS、遠端維護管理的SSH、遠端桌面(RDP)、PHP程式、資料庫系統...等,這些系統環境因子如果存在安全漏洞當然會影響網站運作。
計資中心為本校所有網站進行主機弱點掃描,就是檢查主機的系統環境是否有已知的系統漏洞,如果發現有關鍵或是嚴重的弱點(關鍵、高風險)一定要解決,因為這些是已知被公開的弱點,駭客或有心人士很容易透過這些弱點攻擊系統,進行各種的入侵、破壞、竊取資料等行為,會對系統運作及資料安全造成嚴重的影響。如果發現了問題,一定要找系統開發者或委外廠商負責解決,降低風險預防系統遭駭入的可能性。
A01:2021-權限控制失效 從第五名移上來; 94% 被測試的應用程式都有驗測到某種類別權限控制失效的問題。在權限控制失效這個類別中被對應到的 34 個 CWEs 在驗測資料中出現的次數都高於其他的弱點類別。
A02:2021-加密機制失效 提升一名到第二名,在之前為 敏感資料外曝,在此定義下比較類似於一個廣泛的問題而非根本原因。在此重新定義並將問題核心定義在加密機制的失敗,並因此造成敏感性資料外洩或是系統被破壞。
A03:2021-注入式攻擊 下滑到第三名。94% 被測試的應用程式都有驗測到某種類別注入式攻擊的問題。在注入式攻擊這個類別中被對應到的 33 個 CWEs 在驗測資料中出現的次數為弱點問題的第二高。跨站腳本攻擊現在在新版本屬於這個類別。
A04:2021-不安全設計 這是 2021 年版本的新類別,並特別針注在與設計相關的缺失。如果我們真的希望讓整個產業"向左移動"*註一*,那我們必須進一步的往威脅建模,安全設計模塊的觀念,和安全參考架構前進。
*註一: Move Left 於英文原文中代表在軟體開發及交付過程中,在早期找出及處理相關問題,同 Shift Left Testing。*
A05:2021-安全設定缺陷 從上一版本的第六名移動上來。90% 被測試的應用程式都有驗測到某種類別的安全設定缺陷。在更多的軟體往更高度和有彈性的設定移動,我們並不意外這個類別的問題往上移動。在前版本中的 XML 外部實體注入攻擊 (XML External Entities)現在屬於這個類別。
A06:2021-危險或過舊的元件 在之前標題為 使用有已知弱點的元件。在本次版本中於業界問卷中排名第二,但也有足夠的統計資料讓它可以進入 Top 10。這個類別從 2017 版本的第九名爬升到第六,也是我們持續掙扎做測試和評估風險的類別。這也是唯一一個沒有任何 CVE 能被對應到 CWE 內的類別,所以預設的威脅及影響權重在這類別的分數上被預設為 5.0。
A07:2021-認證及驗證機制失效 在之前標題為 錯誤的認證機制。在本次版本中油第二名下滑至此,並同時包含了將認證相關缺失的 CWE 包含在內。這個類別仍是 Top 10 不可缺少的一環,但同時也有發現現在標準化的架構有協助降低次風險發生機率。
A08:2021-軟體及資料完整性失效 這是 2021 年版本全新的類別,並在軟體更新,機敏及重要資料,和 CI/CD 管道中並沒有做完整性的確認為前提做假設並進行評估。在評估中影響權重最高分的 CVE/CVSS 資料都與這類別中的 10 個 CWE 對應到。2017 年版本中不安全的反序列化現在被合併至此類別。
A09:2021-資安記錄及監控失效 在之前為不完整的紀錄及監控並納入在業界問卷中在本次列名為第三名並從之前的第十名上移。這個類別將擴充去納入更多相關的缺失,但這也是相當難去驗證,並沒有相當多的 CVE/CVSS 資料可以佐證。但是在這個類別中的缺失會直接影響到整體安全的可視性,事件告警及鑑識。
A10:2021-伺服端請求偽造 這個類別是在業界問卷排名第一名,並在此版本內納入。由資料顯示此問題有較低被驗測次數和範圍,但有高於平均的威脅及影響權重比率。這個類別的出現也是因為業界專家重複申明這類別的問題相當重要,即使在本次資料中並沒有足夠的資料去顯示這個問題。
提供安全穩定的雲端虛擬主機並負責推動執行全校資訊安全管理制度,維持雲端虛擬主機系統的正常運作,落實資訊安全管理制度對雲端虛擬主機系統的要求,妥善管理虛擬主機對外的連線規範,確實執行主機弱點掃描,追踪後續修補的相關作業。
配合計資中心進行安全性掃描,掌握廠商完成安全性漏洞的修補,控制主機及網站對外連線服務的權限,定期清查主機及網站上有效的使用者帳號,保存主機及網站日誌記錄至少6個月。
配合校方的資訊安全管理制度產出相關資安文件,並進行系統的弱點掃描及修補作業。
網站定期維護它的健康安全是必要的,就像汽機車要做定期檢查一樣,發現問題就要即時修正,避免發生更大的危害。像是前面介紹的各種檢測弱掃之必要,以及正視安全弱點加以改善,後續維運過程落實必要的資安管理作為如帳號清查、系統日誌、資安文件等,才能有效降低資安風險。