按Enter到主內容區
:::
現在位置 首頁 > 專區服務 > 員工專區 > 最新消息專區
  • 友善列印
  • 回上一頁

公務機密維護宣導-弱點掃描新觀點

  • 最後異動時間: 2018-07-24
  • 發布單位: 臺中市外埔區公所‧政風室

◎林孟璋

弱點掃描(Vulnerability Scanning)為資訊安全上的一個重要議題,大家耳熟能詳的SQL注入(SQL Injection)與XSS(Cross Site Script)已成為開發網站人員常遭遇到的攻擊。雖然開發人員已針對此類漏洞加強網站的安全性鞏固,甚至有些黑箱測試軟體可以檢測出此類相關網站弱點,但弱點的定義甚廣,不僅是系統上重要且未更新的漏洞,還應包含深入系統底層的函式庫漏洞。舉例來說,如發生在2014年OpenSSL Heartbleed的重大漏洞即屬此類。對主機管理者而言,使用OpenSSL相關的函式庫皆需要更新,例如OpenSSH、Apache這類的常用套件;若不更新相關套件,則置於主機上所提供的相關服務,駭客隨時可藉由漏洞竊取主機管理者的權限,主機管理員不得不小心謹慎。

  最近所揭露深入系統底層的弱點還包括2015年初公布的GHOST系統漏洞。GHOST是經由GetHOST此類函數呼叫觸發,因此被簡稱為GHOST。此弱點涉及Glibc Library相關漏洞,透過此漏洞攻擊者可以透過緩衝區溢位(Buffer Overflow)的方式,造成主機的中斷服務或執行任何不利於主機的程式碼,進而取得主機權限。如同前述,跟OpenSSL的函式庫一樣,只要用到Glibc函式庫皆須更新,但比起OpenSSL牽扯更為廣闊。舉例來說,很多程式都會用到Glibc函式庫,以網站開發之程式語言PHP而言,在其更新之警語中就提出,如果不更新到PHP 5.5.22以上的版本,網站有機會利用此漏洞而呼叫特定函式,獲取機敏資料甚至可以癱瘓(Crash)應用程式進而阻斷服務。

   為了鞏固伺服器相關安全,應定期進行弱點掃描偵測,除了網站應用程式外,尚需包括系統深入的部分,從底層更新相關核心之函式庫,如針對Glibc版本的檢測動作,如此相關套件在運作上才更有保障。

(作者為國家實驗研究院國家高速網路與計算機中心助理工程師)

  • 市府分類: 法律權益,宣導活動,資訊管理
  • 發布日期: 2017-07-18
  • 點閱次數: 69