企業有API漏洞怎麼辦？資安團隊靠滲透測試，模擬駭客找到問題！

2017/09/19

資安問題有多嚴重？當企業有API漏洞怎麼辦？專業的資安團隊靠著滲透測試，模擬駭客思維來找到潛在問題，加強企業的網路資安的安全性，並降低企業未來被駭客攻擊的風險。根據消基會和資策會共同合作的針對消費者認知的資安調查報告顯示，80.9%民眾認為資通訊安全威脅日趨嚴重。此外，有83.9%民眾認為企業或政府相關單位應積極提升資訊安全相關機制。

IG也會出現API漏洞？當心恐釀資安危機！

幾乎每週都有資安洩漏問題上新聞版面，最新的受害對象是社群媒體Instagram。官方證實駭客利用 Instagram API 應用程式介面在身份驗證上的漏洞，竊取用戶的電話號碼、電子郵件與聯絡資訊等，主要鎖定名人、明星等特定對。駭客竊取Instagram特定個資的用戶數超過 600 萬個，並將這些個資建立資料庫，以一筆10美元的價格出售，引發外界對 IG 在個人資料保護上的質疑聲浪。
一般大眾可能覺得IG個資被盜沒什麼特別感覺，但事實上每天都在上演資安攻防戰，舉例來說，每個人切身相關的電子支付也存有API漏洞。目前電子支付採取綁定手機號碼，然而盜刷者可經過權限認證的漏洞改變預設手機號碼，讓銀行將驗證碼傳送到盜刷者的手機，再使用電子支付來付款。
從上述兩件案例顯示，API已成為近年來資安新威脅。根據OWASP（The Open Web Application Security Project ，開放網路應用程式安全專案）2017年新版歸納的十大資安風險中，其中兩項新增的風險都與API的安全性有關。
雲力橘子資安顧問陳昱崇（Zero）表示，隨著行動上網普及，企業蜂擁開發App，但背後的API伺服器卻沒有做好保護措施，讓API存有安全漏洞，導致駭客未經過身份驗證即取得相關資料。導致駭客可利用漏洞在未經身份驗證情況下取得使用者權限或相關機敏資訊。

弱點掃瞄V.S 滲透測試

面對駭客的威脅，企業要做的即是提昇資安防護水位，除了傳統的弱點掃描（Vulnerability Assessment）外，還要深化到滲透測試（Penetration Test）。Zero解釋，所謂弱點掃瞄主要倚賴自動化掃描軟體檢測既有的安全漏洞，但無法檢測出最新的資安漏洞或與邏輯思維相關的漏洞並給予修補建議。滲透測試則是由資安專家團隊，仿駭客思維實際瞭解企業營運模式與系統架構的邏輯進行測試，以實戰方式找出任何可能突破目前的網站安全防護，獲得企業內部資產或資料。藉此找出系統架構邏輯不完整或是其他漏洞風險，並協助客戶制定更完整安全的防禦措施。

Zero進一步補充，滲透測試就是資安專家或有道德良心的駭客（或稱白帽駭客，White Hat Hacker），以假想敵駭客入侵會使用的方法與戰術滲透到企業內部，用其專業技能仔細巡察企業的系統架構是否有未知的弱點，或運作流程有邏輯上的錯誤，並協助改善系統加強安全。若以健康檢查來做比喻，弱點掃描就是利用儀器檢查身體狀況，只能找出目前顯性的病症，但沒有醫師來對症下藥；但滲透測試除了深入分析偵測一般健康檢查無法檢查到的項目外，針對病症協助治療與改善。還能針對病人體質與病症提供正確的治療與改善建議。

資安團隊利用滲透測試，找出網站的潛在問題

以電子支付商務網站的滲透測試為例，雲力橘子資安團隊會以整個電商系統的運作邏輯，來思索駭客可能侵入的點。首先分析網站架構、管理流程與商業運作模式，如購物系統怎麼做、訂單後台資料庫系統、金流找誰合作，可使用哪些信用卡或特殊付費模式等，以及委外與自建的程式邏輯問題，再加上員工搭配後台管理可能出現的社交工程漏洞等，模擬不同類型駭客威脅進行實戰攻擊與檢測，找出網站系統的潛在問題，從整體宏觀的角度來分析檢測，確認客戶網站是否有潛在問題，必須加強安全性。

除了網站外，滲透測試人員也會使用APT後滲透測試，從企業內部端點開始試圖取得企業同仁的使用者權限，例如寄送病毒社交工程郵件、使用其他員工帳號信箱，利用破解密碼等方式取得管理權限，以獲得資料庫伺服器內的機密資料的。並可一併檢視整體資安防禦架構設計是否完善，網站防火牆或入侵防禦系統是否有過濾或提出警示。

立即瞭解：滲透測試服務

Zero認為，系統架構是人設計的，事實上所有的資安問題就是人的問題，因為追求便利是人的天性，但便利與安全互為矛盾，如何在安全與便利之間取得平衡，確保在資訊安全之前提下，才能享受資訊便利。

目前以政府機關、金融產業、電子商務或遊戲產業較為積極進行滲透測試。Zero認為，每個產業都需要做滲透測試，只要企業網站與消費者有互動，客戶個資能讓駭客賣錢或企業本身營運價值是駭客有利可圖的，都需要做滲透測試，將企業的資安水位拉到最高以降低受駭風險。

目前有許多白帽駭客實驗室訓練學生，分析駭客攻防手法再進入滲透企業網路進行實戰攻擊，在滲透過程中找出漏洞並提出建議。雲力橘子在9月14日下午舉辦「駭客思維滲透測試」的資安社群論壇，邀請資安專業講師包括台灣駭客年會 HITCON Community 總召，同時也是戴夫寇爾 DEVCORE 執行長Allen Own、國防大學理工學院電機系助理教授張克勤教授與曾獲得資安技能競賽金盾獎同時也是OWASP 2017 Taiwan Day 的講者Wayne Tseng，分享如何思考假想敵駭侵使用的方法與戰術，讓您一窺白帽駭客如何進行滲透測試，透過知己知彼找出未知的弱點以百戰百勝。

企業動態

企業有API漏洞怎麼辦？資安團隊靠滲透測試，模擬駭客找到問題！

其他動態

DC 世界的算力贏家_數位分身 x 3D 視覺化技術

雲端時代資安策略革新，CYBERSEC 2025臺灣資安大會正式揭幕

雲力橘子強勢登場 iThome Cyber Talent！

雲力橘子攜手 OpenText 傳授實務心法，翻轉企業 DevSecOps 戰力

【資安人高階圓桌會議】高效智能：AI 引領雲端資安新世代

ESG 3D數位分身 智慧戰情監控平台將於2025智慧城市展展出

DevSecOps 革新：開創全面威脅檢測與快速響應的新時代

雲力橘子將於 2025 台北國際電玩展 B2B 商務區展出

避免雲端主機淪為跳板收到公有雲鉅額帳單

雲力橘子再獲 2024 OpenText Outstanding Cybersecurity Growth Award 殊榮

整合優勢資源，共同採購更高效

【2025 AI 人工智慧資安論壇 會後報導】

資安人講堂：2025必須關注的資安10大趨勢

雲原生時代，華為雲 FinOps 解決方案協助提高企業價值

跟著逐步說明，建立雲端策略的行動計畫

華為雲 ServiceStage 整合 Sermant 實現應用程式的優雅上下線

進軍中國遊戲市場的雲端解決方案

AI 人工智慧資安論壇

2025 必須關注的資安10大趨勢

雲力橘子攜手 OpenText 力推軟體開發安全

雲端安全——執行長必須關注的五大重點

別讓企業App成為品牌不定時炸彈！App安全風險大解析

雲力橘子藉由第三方 CNAPP，加速實現跨雲與混合式資安管理

雲端技術如何驅動金融科技創新？阿里雲的五大關鍵方案

加速數位轉型：借助 GCP Gemini 和 Colab Enterprise 打造高效開發團隊

優化用量、削減費用：掌握雲端流量管理的關鍵技巧

利用 Database Migration Service 無縫升級 Cloud SQL MySQL 和 PostgreSQL 資料庫

企業上雲，雲力橘子為企業打造雲端資安防護，實現雙贏安全與效能

騰訊雲媒體傳輸如何實現毫秒級跨洲延遲，助力大型賽事直播

【Okta | Akamai | 雲力橘子 | 奧登 _ 企業資安升級 從零信任架構到API防護 】活動報名

雲力橘子積極拓展經銷通路，共創 SPKITA 社交工程演練生態系

【DevSecOps實戰：從地端到雲端，全面提升軟體開發安全性】 說明會報名

雲力橘子分享實用方案，助力打造通暢無礙的軟體安全開發流程

iThome Cloud Summit - 實現快速安全現代化 - 跨雲和混合式安全管理

2024 年度雲端盛會 Google Cloud Summit 即將登場！

Hacker Talk 論壇報名 - 點破常見的資安迷思，再帶您一次導覽亞洲新型詐騙趨勢!

CYBERSEC 2024 臺灣資安大會 - 雲力橘子攤位編C233 ，填問券送好禮!

HyperG持續深化appGuard防禦力，捍衛企業機構App安全

【軟體安全開發 X 資安佈署】說明會報名

無人機資安風險與企業資安人力部署的困境

ESG 3D數位分身 智慧戰情監控平台將於 2024 智慧城市展展出

AI 2.0智勝新局 - 2024 IBM Solutions Day

如何確保做好企業資訊安全？這4大DDOS防護方法，推薦學起來！

雲力橘子將於 2024 台北國際電玩展B2B商務區展出

全面導入AWS以培訓提升員工技能，並使遊戲上市時間加速 70%

雲力橘子力推 DevOps 開發流程安全思維

雲力橘子舉辦原碼檢測工作坊，引領企業實踐安全軟體開發之路

2023年最後一場駭客論壇，精彩議程搶先看!!

ISO 27001：2022 轉版重點及技術措施解析

雲力橘子攜手Check Point，提出業界最完整的雲端資安攻略

【Source Code Analysis Workshop】活動報名

【強化DevOps開發流程安全】 說明會報名

阿里雲 x 雲力橘子 每月199雲端乖乖包，保護您的業務順暢運營

DevOpsDays Taipei 2023_DevOps系統委外開發案實務案例分享

【ISO 27001改版 - 企業資安轉版重點解析】 說明會報名

惡意後門與自駕車載資安層出不窮，我們邀請資深資安講師分享個人獨到見解

雲力橘子匯聚SOC與CNAPP能量，有效打造跨雲安全管理服務

【Alibaba Cloud x Gamania CloudForce】未來產業趨勢論壇 迎接下一波網路革命

2023 年 臺灣雲端大會-企業轉型上雲安全實作分享

核智安全從開發端切入，完整保護 App 安全，以 appGuard 融入 DevOps 開發維運流程，展現一條龍服務及在地專業團隊優勢

直播點播加密：安心享受視頻內容，防範未經授權的觀眾亂入我的平臺

新一代安全直播解決方案：快直播抵擋駭客盜用鏈結

AI FOR ALL，四大趨勢觀點引領你探索最新趨勢變化

AWS AppStream 2.0 快速上手

善用抵稅制度強化企業資安防禦力

雲力橘子攜手 OpenText 完美演繹如何破解程式漏洞危機

調查局與企業資安顧問微妙融合，即將掀起驚滔"駭"浪的資安秘辛，您還不來報名嗎?

CYBERSEC 2023 臺灣資安大會 - 企業安全開發流程升級之路

【資安投資抵稅 快速通關說明會】 報名

【落實資安防護，杜絕漏洞風險】 活動報名

3D數位分身，智慧城市整合監控平台將於2023智慧城市展展出

2023年首發論壇，快來手刀報名，來聽專業的怎麼說!

安全防護：Anti-DDoS 設定教學

十倍速遊戲開發效率SGC研習會

雲力橘子將於2023台北國際電玩展B2B商務區展出

一文概覽阿里雲 DDoS 防護六項優勢、四種方案抵禦 DDoS 攻擊手段！

以資安治理角度理解 OWASP Top 10 2021

ESG 3D數位分身智慧戰情監控平台將於2025智慧城市展展出

【2025 AI 人工智慧資安論壇會後報導】

【Okta | Akamai | 雲力橘子 | 奧登 _ 企業資安升級從零信任架構到API防護】活動報名

【DevSecOps實戰：從地端到雲端，全面提升軟體開發安全性】說明會報名

ESG 3D數位分身智慧戰情監控平台將於 2024 智慧城市展展出

【強化DevOps開發流程安全】說明會報名

阿里雲 x 雲力橘子每月199雲端乖乖包，保護您的業務順暢運營

【ISO 27001改版 - 企業資安轉版重點解析】說明會報名

【Alibaba Cloud x Gamania CloudForce】未來產業趨勢論壇迎接下一波網路革命

2023 年臺灣雲端大會-企業轉型上雲安全實作分享

【資安投資抵稅快速通關說明會】報名

【落實資安防護，杜絕漏洞風險】活動報名

【強化應變建立韌性發展永續金融】金融資安發展論壇 - 加密軟體及金鑰管理應用

科技視覺，釋放數據新價值，創造高效關鍵決策 - 2022 智慧城市與物聯網南港展覽館

地表最強駭客講堂 - 開春首發，不聽會後悔的重量級課程

線上駭客資安論壇將於6/11準時上線

物聯網隱藏資安風險雲力橘子推AI SOC服務

用AI從Big Data 挖寶掘金！研討會即日起熱烈報名中