2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

2023/01/11

許多資安人員也許不太確定，經常被遺忘的開發測試環境，有無可能成為駭客狙擊對象？又或者，僅做弱點掃描，是否足以阻擋駭客攻擊？為幫助資安或 IT 人員尋求上述解答，雲力橘子於日前舉辦今年（2022）的最後一場 Hacker Talk論壇，安排兩段精彩議程。

管好開發測試環境不讓駭客有機可乘

雲力橘子資安部經理 Wayne，探討開發測試環境的資安治理議題。Wayne 指出，多數企業對開發模式或開發環境的關注度偏低，因為大家通常覺得就算出狀況，頂多只有一些資料洩漏而已，但事情並非那麼簡單。

通常在 Web 應用程式或系統弱點掃描過程，會看到客戶採用 Laravel 等程式語言框架，其中Debug Mode 幾乎都被列為中風險。但其實近年來幾乎半數的網頁開發框架，在這個地方上面都有 Critical Issues，不應掉以輕心。首先看一個關於 Laravel Debug Mode 的故事。某客戶環境的測試伺服器被安裝挖礦程式，

導致當月 AWS 帳單暴漲。Wayne 協助進行事件調查後，發現 Initial Access 為 Web 入侵，經由日誌察覺源頭是某個網頁節點。接著從 HTTP Log看到 CVE-2021-3129 反序列化弱點被利用，駭客以一包反序化資料發動攻搫，其手法是藉 phar 搭配 le_put_contents 函數，把 Kinsing 惡意程式抓下來執行。深究其根因，肇於開發者的疏忽、對外開放存取所致，加上開啟 Debug Mode，滿足弱點可以使用的條件，基本上算是管理疏失，故應以管理手段來解決問題。

下一個故事，則關於 Spring Boot Actuator。Wayne 曾在執行滲透測試時看到客戶使用Spring Boot Actuator，因為它相當好用且安全性足，表面上無大礙；但深入檢視發現它有一個監控功能，可監控 AP 執行現況暨相關參數值，因為要做監控，可能有一些敏感資訊洩漏，但客戶信任原廠說「吐出機敏參數時會打碼」，仍放心使用。豈料後臺滿滿的參數值，竟輕易成為滲透測試者取用的素材，不需另做掃描，即知客戶有哪些資產，堪稱嚴重的資料外洩。此外還有一個 HTTPTraces 會紀錄當下所有使用者的完整資料，駭客只要看到這一包，就能掌握使用者所有資料訊，嚴重性超乎想像。因為在 Spring Boot 的文件裡表明會打碼，導致許多開發者有所輕忽；為避免上述問題發生，今後須更加重視環境管理議題。綜觀上述事件，凸顯測試環境確實需要善加管理，因為漏洞會持續迭代更新，唯有藉由完善的管理方式才能降低駭客攻擊機率。至於開發環境及模式的設計之道，須切記幾個重點，譬如開發模式永遠僅能用於開發測試環境；考量傳統 IT 模式難以調整，故應於 AP 端導入 CI/CD 流程，將架構虛擬化、程式化，以利後續檢測，且針對 Prod、Stage 及 QA 分別產出對應檔。
再者，亦應透過諸如白名單等機制（比方說僅開放Repository連接）來管控 Outbound 連線。另外開發和測試環境應使用 Dummy 資料，絕不能因偷懶使用 Prod 真實資料。

做過資安檢測，面對駭侵就萬無一失？

來自關鍵智慧科技資安團隊的 Xiao Swaii，展開「矛盾大對決」演說，其中「矛」是指駭客入侵攻擊；「盾」是透過不同資安檢測來發現、修補漏洞的整個過程，而非一昧等到駭客入侵才做後續處理，畢竟預防勝於治療。但應留意是否掃
描完、修正完之後，還是留下一些可被駭客利用的漏洞？
以資通安全責任等級分級辦法而論，清楚規定A、B、C 級機關應定期執行一定次數的弱點掃描（VA）及滲透測試（PT）。但大家不妨深思，今年 8月裴洛西訪臺後，為何仍出現諸多攻擊事件？顯然不少單位做資安檢測時，都會遇到一些盲點。常見的檢視項目有三，包括 VA、Web VA、PT，檢測目標依序為系統一般性弱點、已知網站應用程式漏洞，以及涵蓋系統弱點、應用程式弱點、無線網路情境甚至模擬內網被滲透情境，技術門檻各為一般、中、高。至於測試類型，則包含測試者對目標一無所知的「黑箱測試」，測試者掌握部分資訊的「灰箱測試」，及測試者完全瞭解網路狀態且偏向類似 Code Review 型態的「白箱測試」。但若不考慮其他因素，客戶無論提出黑、灰、白箱檢測，經常都會得到「查無問題」結果，但實情未必是如此美好，係因每一種檢測各有盲點所致。例如客戶不想提供帳密、針對暴力破解有限制，只進行無認證機制的漏洞檢測（黑箱），那麼駭客透過社交工程取得系統權限，可以攻擊的面嚮又會增加許多或是只做缺乏完整環境整合測試元素的源碼檢測（白箱），能看得到伺服器、資料庫、應用程式的漏洞？所以即使委託資安廠進行 VA，從而根據檢測結果修補，能否阻擋真實攻擊攻？著實值得商確。但企業若能在不同選項中做出較佳抉擇，可能影響檢測結果，挖掘出更多需要留意的弱點，如採取有 Credential 的 VA 與 Non- Credentialed 的檢測差異；調整檢測工具至 Paranoia Level 2、而非采用預設的 Paranoia Level 1；採取會隨著偵查結果挑選或調配 Payload 的 PT、而非在工具中內建制式 Payload 的 Web VA。更重要的，切記做檢測不是應付合規，而應認真地修補好發現到的漏洞，才可望有堅實的盾，擋住下一波鋒利的新矛。

其他訊息

產業訊息

2022 雲力橘子 Hacker Talk 漂亮收尾， 解構開發模式、弱點檢測之安全盲點

其他訊息

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！