資安相關文章閱讀心得分享
這陣子看過各種各樣的手法之後可以發現駭客的攻擊常常是各種手法一起使用的:Local File Inclusion允許駭客存取本機的私密資料,一般的網站倘若任由使用者輸入欲存取的檔案名稱很有可能會遭受Local File Inclusion攻擊。
為預防Local File Inclusion,開發者會在存取檔案的程式進行攔截甚至設置白名單以應對駭客的攻擊,然而除了存取檔案以外仍有許多地方可能遭受駭客利用後進行Local File Inclusion攻擊,例如在上傳XML的程式透過XML External Entity 解析外部實體的功能注入Local File Inclusion攻擊;注入惡意程式的網址則有可能讓伺服器下載病毒或執行惡意程式,防不慎防。
參考之前的案例,不論是Mass assignment、XXE、Formula Injection等等攻擊手法應該會得到一個觀念:駭客攻擊始終需要一個進入點,所有允許使用者輸入的值都需要驗證,且可以的話應使用白名單而非黑名單,畢竟駭客始終會嘗試各種手法來攻擊,如果僅使用黑名單隨時有可能因為沒有思考到的漏洞而遭受攻擊。
另外從下載檔案可能會遇到目錄遍歷、內網可能遭遇SSRF攻擊等來看,除單純允許使用者輸入的程式外,其他會與使用者產生輸入以外的互動的任何程式亦有可能成為駭客攻擊的進入點,開發者能做的就是盡可能的進行驗證並設置好權限檢查。
近期留言