閱讀: 370|回覆: 0

專家:菲國網站開發缺乏嚴謹標準 [複製連結]

Rank: 9Rank: 9Rank: 9

發表
3191
註冊時間
2008-1-30

管理員

發表於 2013-5-13 20:37:08 |顯示全部樓層
專家:菲國網站開發缺乏嚴謹標準
文/蘇文彬 (記者) 2013-05-13

我國漁民遭菲律賓槍擊身亡引爆兩國駭客及網友的網路攻擊,國內資安專家分析菲國政府網站設計,認為菲國網站開發缺乏嚴謹的標準,網站安全強度不足,可供國內網站借鏡。

台灣與菲律賓兩國引爆網路戰爭,深入研究菲國政府網站被攻擊案例,阿碼科技創辦人黃耀文發現,菲國官方在網站開發上的安全意識並不高,許多政府官方網站開發使用一致的工具,PHP加上MySQL,網站開發過程中缺少嚴謹流程,導致網店安全風險增加,

他指出,菲國網站開發人員未遵循版本控制系統上傳修改,直接在網站或機器上修改再透過FTP上傳,會連同備份檔一起上傳,由於這些資料公開可透過Google hacking搜尋到,備份檔內曝露程式碼、資料庫帳號及密碼,增加網站被入侵的資安風險。

可能因為不嚴謹的網站管理,導致駭客組織Anonymous攻陷菲國DNS(dns.gov.ph)的手法,取得許多主機帳號、密碼,AnonTaiwan並公佈超過2300個菲國政府網域DNS管理者帳號密碼。

黃耀文表示,AnonTaiwan也公佈網域管理者的電子郵件、電話、住址等個資,可進一步作社交工程,有心者可對菲國政府網站發動大規模攻擊。雖然不清楚Anonymous實際攻陷DNS的手法,但很可能與菲國政府網站輕易曝露的資安風險有關。

另一名部落客X'sOin也以探討網站開發習慣角度,發現了相似的開發問題,他在個人部落格上指出,透過vim開發的使用者輕忽自動產生的備份檔,只要在網頁連結位址後方加入~特殊字元就能得到php原始碼,若再依據程式命名習慣猜測,可能找出內含資料庫帳號、密碼的程式碼,突顯網站是否養成良好開發習慣的問題。

還有一位不願具名的專家指出,這次衝突與先前楊淑君跆拳道事件同樣都是因愛國心所引發的網路攻擊行為,攻擊菲國網站不只有DDoS阻斷式攻擊,還包括從網站弱點入侵、寄發大量郵件炸彈等攻擊手法,雖然菲國後續以過濾IP等防護方式防堵攻擊,但只能阻擋基礎的攻擊,較高明的駭客還是能發動攻擊,只是時間上長短問題。

由於菲律賓反擊波及台灣民營公司網站,該名專家認為,雙方未來網路戰爭愈演愈烈,已有台灣企業相當緊張後續發展,擔心因兩國政府、網友的對立而波及到民間企業。「就好像打群架被捅一刀,誰不怕」,他說。

http://www.ithome.com.tw/itadm/article.php?c=80291
← 按讚加入粉絲團!
您需要登入後才可以回覆 登入 | 立即註冊 |

bottom

聯繫我們|手機版|就是酷資訊網 |

GMT+8, 2016-12-11 02:25 , Processed in 0.025905 second(s), 10 queries , Gzip On.

Powered by Discuz!
© 2008-2013 JustCool Inc.

回頂部