网页应用程式安全设计及防护 - 财金资讯股份有限公司.pdf

專題報導 │網頁應用程式安全設計及防護 網頁應用程式安全設計及防護 彭耀東∕安控部資源控管組組長 杜廣輝∕安控部資訊安全組高級工程師 目前進行中的計畫超過140 個，其中包括最知 一、前言 名的 OWASP Top 10 及WebGoat 練習平台 等。 隨著網際網路服務應用日廣，網頁應用程 式的安全逐漸成為資訊安全領域的重要議題。 二、OWASP TOP 10 簡介 企業決定對外開放網頁應用程式服務時，就必 須體認網站代表企業洞開的門戶，不僅提供網 OWASP Top 10 計畫是有關網頁應用程 頁應用程式服務，同時也會面臨各種網際網路 式安全性認知的文件，它列舉現今最嚴重的網 攻擊的挑戰。駭客可能將攻擊行為隱藏在合法 頁應用程式安全風險。OWASP 希望所有企業 的網頁請求內，躲過防火牆、入侵偵測系統或 或組織重視OWASP Top 10 文件，並啟動相 其他防禦系統的偵測，堂而皇之進入企業內 關處理程序，以降低網頁應用程式的安全風 部，或是以企業網站為跳板，攻擊其他受害者。 險。美國聯邦貿易委員會（Federal Trade 隨著網頁應用程式的服務規模與複雜程度日益 Commission ，簡稱FTC ）強烈建議所有企業 擴增，暴露在外的風險也相對提高；因此，企 遵循OWASP 發布的十大安全弱點防護原則， 業必須將網頁應用程式列入資訊安全防護的一 美國國防部亦已將其列為最佳實務，信用卡國 環，而如何架構安全的網頁應用程式，也是企 際組織之資料安全標準更將之設為必要元件。 業不得不謹慎面對的課題。 目前最新版的OWASP Top 10 於2010 年 開放網頁應用程式安全計畫（Open Web 公布，與前一版本（2007 年）不同之處在於 Application Security Project ，以下簡稱 Top 10 是指十大風險，而不是十大常見漏洞。 OWASP ）是一個世界性的開放社群非營利性 評估風險等級也會考量圖1 所示的因素及衝擊 組織，主要工作是研議網頁應用程式安全的標 程度，不再侷限於漏洞出現頻率的統計。 準、工具與技術文件，並致力於協助政府或企 Threat Attack Weakness Weakness Technical Business 業瞭解及改善網頁應用程式與服務的安全性。 Agent Vector Prevalence Detectability Impact Impact Making application security visible 」是 Easy Widespread Easy Severe 「 OWASP 的使命，以期全球企業與個人皆能在 ？ Average Common Average Moderate ？ Difficult Uncommon Difficult Minor 充分瞭解軟體安全風險的情況下做出決策。 OWASP 針對不同的軟體安全問題進行研究， 圖 1 OWASP 風險評估方法論 32 財金資訊季刊∕No.75 ∕2013.07 網頁應用程式安全設計及防護│專題報導 以下逐一說明OWASP Top 10 的十大風 (四) Insecure Direct Object References （不 險： 安全的物件參考） (一) Injection （注入攻擊）