網站不攻自破?VampireScan 為網站揪出漏洞
作為一個網頁程式人員,除了盡量滿足客戶對 Web 的要求外,最重要就是懂得除蟲(Bug Fix),但往往以為所有臭蟲經已排除並為客戶將 Web 上傳,這時問題便隨之而來。臭蟲不能排除或令某些功能不能使用,當用戶嘗試使用該功能時,大多數會顯示 MySQL 錯誤訊息,而這些訊息可以協助程式人員除蟲外,原來也是為駭客開了一個後門,他們使用一種叫 SQL Injection 技術來嘗試查詢這段 MySQL 錯誤,目的是拿取用戶登入資料,甚至拿取最高管理員權限,然後破壞整個系統,造成網站威脅!
而 Web 攻擊是針對 HTTP/HTTPS、URL、session IDs、cookies 等等,因此對於 UTM 防火牆的 IPS/IPD 是無法偵測出來的。其實不單只有 SQL Injection,還有其他 Web 攻擊,例如 XSS、XRSF、session hijacking、overflows。大家試想想 MySQL 錯誤出現在網上銀行網站內,駭客一定很喜歡向這些網站發動大規模 SQL Injection 查詢,如果真的給駭客取得網上銀行用戶登入 資料,我想大家都知道他們下一個動作是什麼了….,因此防止網上銀行網站漏洞亦是 IT 部重中之中的工作。
我們究竟有沒有方法檢查自己的網站有沒有漏洞呢?最起碼知道錯誤在那裡。其實網上有很多專幫客戶網站捉漏洞的公司,大多數名稱都是 Web Vulnerability Scanner,筆者訪問了外國 VampireTech 公司, 他們對網站漏洞相當有研究,其中一個產品名為 VampireScan,可供客戶免費三十日使用。大家記得使用 VampireScan 之前一定需要取得授權,取得登入密碼後才可以 scan,假設你沒有授權去 scan Yahoo 的話,VampireScan 會停止你帳戶,永遠無法再執行,請大家緊記。