在 Internet 上,駭客攻擊的途徑可能來自系統、網路以及 Web 應用程 式,但是近年來系統與網路的安全產品已經成熟,防禦的效果已經很不錯,
因此對駭客而言,透過系統及網路途徑的攻擊方式也就越來越困難,所以 Web 程式也就容易成了覬覦的對象。當我們開放 Web 應用程式服務時,就 必須讓來自於全球的網頁請求,進入單位內部的 Web 應用程式伺服器,駭 客可以透過合法的網頁請求,通過防火牆、入侵偵測系統及其他防禦系統,
順利的進入單位內部或者藉由 Web 網站充當跳板與中繼站,而向其他受害 者發動攻擊[3]。
因此在一個網站中,即使只是少數網址存在安全弱點,也將變成駭客 攻擊、入侵或破壞的管道,導致企業造成營收損失、聲譽損失、客戶流失 或法律賠償等形象與實質上的損失。近期國內網站因為 Web 程式弱點而造 成的資訊安全事件包括有:1)政府重要的機構-大考中心網站,因 SQL Injection 弱點,造成考試資料被竄改以及上百萬考生資料被竊取。2)號稱全 台最大的 Blog-無名小站,因 Cross Site Scripting (XSS)弱點,而造成會員 資料洩漏。3)雄獅旅遊網站,因 SQL Injection 弱點,而造成年營業額 80 多 億元的線上交易作業完全停擺。目前法務部明文規定,洩漏一筆個人資料,
罰款新台幣二萬元以上,十萬元以下[7],所以任何單位或企業都必須更加 重視 Web 網站的安全。
在 Open Web Application Security Project(OWASP,開放 Web 軟體安全 計畫)的 Top Ten Project 中,反映出目前的攻擊現況,XSS 與 SQL Injection 一直是 Web 網站遭到攻擊的熱門手法,而且還被列為全球頭號嚴重的安全 弱點[3]。這些弱點通常在程式開發週期就已經產生[5],因此開發人員如果
能擁有足夠的安全知識、意識及解決問題的技術,再輔助 Web 掃描工具可 快速且有系統找尋程式弱點等應用,就能在程式開發的源頭減少安全上的 弱點,或是在網站上線前即可發現弱點並提早處理之。
但實際上,由於各掃描工具在價格及能力上的落差很大,而目前又沒 有較具參考價值的評估比較報告,所以要挑選一個適合的工具是不容易的;
再加上一般開發人員在安全方面的知識、意識及技術仍然不足,所以每天 依舊上演著網站遭受攻擊的戲碼。
1.2 研究目的
由於網站遭受 Web 弱點攻擊的資安事件,層出不窮的發生中,因此近 幾年, Web 應用程式安全掃描工具相繼問市,以協助開發人員能快速且有 系統地找尋程式的安全弱點,並且給予修補該弱點的相關建議。這類工具 在產品價格及掃描能力上,彼此的落差很大,而又沒有較具參考價值的評 估比較報告,因此,在本論文中,我們將針對目前具代表性的掃描工具,
包括 Free 及 Commercial 版本的工具,分別對 Java、.NET 及 PHP 的 Web 程式做實際測試,並產出客觀且深入的效能評估比較報告,以作為挑選工 具時的重要參考資料,達到提高安全成本效益。
Web 程式開發的語言及架構種類繁多,因此掃描工具在執行檢測時,
掃描結果出現誤判的情形是常發生的,所以這類工具只是輔助性質的軟 體,只有實際提升開發人員在安全方面的知識、意識及技術才是根本。為 此,在本論文中,我們將實作一個平台:安全 Web 程式開發之學習平台
(Platform for Learning Secure Web Application Programming,PL-SWAP),
其中主要包含了 War Game 及 Bug Tracking 二個系統。
在 War Game 系統中,我們以 Web 程式弱點為基楚,融入駭客各種攻
擊的 Scenario,設計成不同的練習關卡,讓通過關卡的使用者,可以學習到 該弱點的相關知識、更可實際感受其可能造成的危害;另外我們設計了一 個符合 Web 2.0 特色的 Bug Tracking 系統,讓任何人可以簡單的將 .NET C#
程式中,含有 Web 弱點的功能單元(Function Unit, FU)部署到此平台,改善 傳統以文字或圖片的記錄方式,達到此功能單元的分享及解決方案的共同 創作。對 PL-SWAP 平台而言,在此 Bug Tracking 系統的運作機制下,更可 達到 War Game 系統中,練習關卡的快速及廣泛累積。
1.3 論文架構
本論文分成五章,除了第一章緒論外,內容如下:第二章做掃描工具 評估報告的相關研究,以及安全 Web 程式之學習平台的相關研究;第三章 將以目前具代表性的安全掃描工具,針對 Web 程式實作掃描測試,並產出 相關效能的評估比較報告;第四章將詳細說明在本論文研究過程中,所開 發的安全 Web 程式開發之學習平台:PL-SWAP,其中主要包含 War Game 系統及 Bug Tracking 系統;最後一章是結論與未來可繼續發展的方向。
二、 相關研究