知名购物车系统传漏洞 安全使用开源码套件
免费的往往最贵,这句话在信息安全领域再度得到验证。最近Opensource开源码软件工具接连传出重大漏洞,若管理人员没有实时更新系统,系统数据就将暴露在高度风险中。
日前知名购物车管理系统Magento传出有跨站脚本攻击(XSS, Cross site scripting)漏洞,攻击者透过此漏洞将能提升用户权力、窃取客户数据与信用卡信息、透过管理者账号接管整个网站。包括企业版1.14.2.2及之前版本,以及社群版1.9.2.2及之前版本都有此漏洞。所幸在资安公司通报后,该公司已释出修补程序,然而在去(2015)年11月10日通报,该公司直到今年1月20日才正式释出更新程序,数百万计使用Magento的电商网站暴露在攻击的风险之中。
在Alexa排名前一百万的网站中,Magento以22%的市占率排名第2,仅次于Woo Commerce平台。也正因为这样的高市占率,Magento成为黑客下手的攻击目标。无独有偶,更多人使用的开源码传输加密函式库OpenSSL在前年爆发Heartbleed大漏洞后,日前再度传出另一高风险漏洞,其DH密钥交换算法被传出有漏洞,可能导致密钥回复攻击。
许多企业碍于预算而使用开源码软件,然而开源码软件并非下载安装后就可一劳永逸地使用,尤其上述使用率高的开源码软件更已成为黑客钻研漏洞的对象。戴夫寇尔执行长翁浩正表示,使用第三方套件尽管可以节省开发时间,但必须能时时追踪资安讯息,以便实时更新。此外,在漏洞已揭露但修补程序未释出的这段空窗期间,也必须自己承担被零时差攻击的风险。因此,opensource套件较适合有技术底子的开发团队使用。
然而使用软件包或找软件厂商委外开发并非比较安全,委外开发者必须在验收时要求厂商提出资安检测报告,确认系统经过渗透测试。许多委外开发项目受限于上线时间压力与预算,往往只求功能而忽略安全。
翁浩正指出,使用opensource套件与委外开发系统的资安风险其实不相上下,许多委外开发的系统漏洞相当多,且无良的软件业者还不愿修改。而若是使用知名的opensource项目反而有持续更新。他建议,opensource套件尽量在企业内部网络使用,较不建议用于对外开放的网络服务。
此外,在使用opensource工具软件时,若出现上述漏洞已揭露但更新未释出的情形时,戴夫寇尔部落格也建议,IT管理者应将使用该套件的服务器与其它服务器隔离、账号密码勿与他台共享、异地备份服务器的系统记录并观察是否有可疑行为、采用网页应用防火墙以增加攻击难度、重新评估使用该套件的必要。因此,
网络安全信息有关人员提出几点使用Opensource套件应注意的部分:
1. 时时注意套件官网的资安讯息,以实时修补漏洞。
2. 将opensource套件放于企业内网使用。
3. 当漏洞揭露但更新未释出时,服务器管理应采取应变措施。
|