tre8154 10 發表於 May 9, 2008 檢舉 Share 發表於 May 9, 2008 文/趙郁竹 2008-05-07目前精誠已經決定,要將原本外包製作的網站原始碼收回自行管理,並重新改版,否則在事發後才進行修補必須花費更多人力及時間,這也是精誠目前遭遇的狀況。代理McAfee、CheckPoint等多家安全產品的精誠資訊,本週陸續被國內外知名資安部落格,揭露該公司網站存在安全性漏洞,並遲未修復。對此精誠資訊回應表示,目前已加緊修補中,未來並會對網站原始碼(Source Code)進行改版計畫,補強安全漏洞。國內安全部落格大砲開講和以及國外專門測試XSS漏洞的網站XSSed分別在週二(5/6)及週三(5/7)指出,精誠網頁被植入惡意程式以及存在XSS (Cross-Site Scripting, 跨站腳本攻擊)漏洞。所謂XSS漏洞通常是以互動式網站為主,在使用者可輸入字元的欄位上(如留言版、討論區)插入HTML語言,植入惡意程式碼。使用者瀏覽時,瀏覽器就會主動執行惡意程式碼,造成危險。根據精誠資訊的回應,從今年初就已發現網站有安全性問題,也持續處理中,不過由於必須重新修改網頁原始碼,工程相當浩大,因此遲至目前為止還在修補當中。針對精誠的網站安全管理,該公司IT服務中心資訊基礎設施維運處資深處長李環祐表示,在各個精誠所屬網站都有專門單位負責維運,並都有基本的網頁弱點掃描排程。對於出現漏洞的網站,他解釋,出現問題的網站例如資安網頁,都是外包給其他公司進行網頁製作,因此原始碼並不在精誠,加上早期製作好的網站沒有注意到現在層出不窮的安全問題,因此才會導致仍有漏洞未修補完成。因此目前精誠已經決定,要將原本外包製作的網站原始碼收回自行管理,並重新改版,李環祐說,否則在事發後才進行修補必須花費更多人力及時間,這也是精誠目前遭遇的狀況。精誠資訊也另外呼籲其他企業,要針對網站的原始碼進行偵測與掃描,包括新掛的內容部份,也要經過資安工具的檢測,才能確保資訊安全。精誠往後會以短期修補、中期改版,長期集中管理的方式加強站安全。深耕資安產品代理,自家網站安全也難保?雖然XSS漏洞、針對網頁的惡意程式攻擊都並非新模式,不過精誠資訊做為國內大型資安產品代理商,旗下代理McAfee、CheckPoint、Websense、F5、HP等十數家安全產品,也提供資安顧問服務,自家網頁卻還存在安全漏洞,勢必會降低客戶的信任程度。而揭露精誠網站漏洞的資安專家、大砲開講部落客邱春樹則指出,精誠相關網站幾乎都有問題。他認為,如果精誠真的有用自己代理的安全產品,就不會出現這麼多漏洞。McAfee技術經理沈志明則指出,利用XSS漏洞的攻擊手法已經流行好一陣子,對企業網站來說是很頭痛的問題。他建議企業應定期檢查網站程式碼,看是否有被植入危險程式,另外也要透過網頁掃描工具,主動排程,定期掃描。「這是現在互動式網站一定要做的事,不然就不要提供互動。」他說。對使用者來說,也有工具可避免誤入危險網站並下載惡意程式,如趨勢科技的網頁信譽評等技術WRS、McAfee的SiteAdvisor。趨勢科技資深技術顧問戴燊表示,一般網頁很容易透過諸如SQL Injection、資料庫漏洞、管理不當等因素被植入惡意程式,而趨勢的WRS是檢查單一頁面,不會因為內含惡意程式就封鎖整個網站不讓使用者進入。http://www.ithome.com.tw/itadm/article.php?c=48828 鏈接文章 分享到其他網站
Recommended Posts
請登入後來留意見
在登入之後,您才能留意見
立即登入