中小企与非牟利机构网站的常见保安问题

日期 : 2021年8月2日

机构 : 香港专业教育学院网络安全中心

作者 : 吴港深先生

与网站相关的攻击近年不断上升，黑客透过寻找网站系统的漏洞发动攻击，包括偷取网站的数据库资料，恶意删改网站内容或进行拒绝服务∕分布式拒绝服务（Denial of Service（DoS）/Distributed Denial of Service（DDoS））攻击等等。这些针对网站的攻击会影响网站的机密性（Confidentiality），完整性（Integrity）与可用性（Availability），继而影响机构的形象和令其声誉受损。

以下将会讨论几种常见的网站攻击的成因。

SQL 插入（SQL injection）

网站的各种资讯透过后台的资料库保存，因此网站程式透过 SQL 指令读取资料库于是十分常见的。如果网站程式员在编写网站时忽略过滤用户的输入，黑客就有可能透过构建恶意的字串，引导程式执行恶意的 SQL 指令，从而盗取机构的敏感资料。

弱密码（Weak Password）与预设密码（Default Password）

当购入或安装现成系统的时候，系统一般会备有预设密码并要求用户在安装或启动系统时作出更改。假若用户忘记更改密码，黑客就能透过辨认系统的程式版本并从互联网上找出相应的预设密码。再者，即使更改了密码，如果密码强度不足，黑客依然能够透过暴力攻击（Brute-force attack）破解系统的密码，继而非法入侵系统。

篡改参数（Parameter Tampering）

相对上述两种攻击，篡改参数更难被发现。这种攻击的成因在于网站程式员的警觉性不足，错误的输入资料，例如黑客透过恶意输入错误的购买金额或数量，诱导网站进行错误的处理，从而令网站蒙受损失。

网站被攻击所带来的影响

网站被破坏会影响公司的形象与客户的信心。黑客能透过盗取网站内部资料，如帐号、信用卡号码等等转售获利，或是利用获得的登入凭证（Login Credentials）对其他系统进行攻击。存在漏洞的网站或会成为内部网络的跳板，让黑客能透过网站伺服器进行横向移动（Lateral Movement）攻击公司内部网络，造成更多损失。

保护网站安全的措施

透过监测网站日志，洞察与基线（Baseline）不相符的网络行为，及早发现潜在攻击。例如不应该在请求中出现的SQL 字串或者是连续向不存在的页面发出请求，这些都是潜在的网站攻击特征。
利用网上应用系统防火墙（Web Application Firewall）检测不正常的网站流量，从而就网站攻击发出警告与防御。
使用防火墙设置网络隔离区（Demilitarised Zone, DMZ），将网站伺服器网络与内部网络分隔开，从而减低因网站被入侵而令公司内部网络受到攻击的风险。