前情提要
對於還不知道 OWASP 組織,想透過荒謬餐廳故事系列了解它的朋友們,這邊有序章為您指路:
跟我一起複習資安睡前故事:什麼是 OWASP Top 10 ?
簡言之,OWASP 組織每隔幾年就會發布前十大應用程式資安風險清單,讓軟體開發者把這些常見漏洞釘在恥辱柱上,不然就會受到「整包資料被搬走」的詛咒。
經我不專業的一番研讀,雖然 OWASP Top 10: 2025 版已經問世(且帶來了供應鏈安全等新議題),我自己也還在版本更新中,所以讓 Gemini 陪我們先溫習 2021 年的版本,認識一下十大錯誤的前五大,這些歷久彌新(?)的資安問題:
第 1 名:權限崩壞 (Broken Access Control)
- 餐廳情境: 客人想上廁所,結果推錯門,直接走進了「金庫」,而且金庫還沒鎖。客人不但能看,還能順手拿兩疊錢走。
- 技術真相: 系統沒有檢查使用者的身分,讓一般會員能看到管理員的後台,或是 A 用戶能看到 B 用戶的私密資料。
第 2 名:加密失敗 (Cryptographic Failures)
- 餐廳情境: 餐廳怕忘記客人的信用卡號,於是把卡號直接寫在店門口的黑板上,還用螢光筆畫重點,路人經過都看得到。
- 技術真相: 敏感資料(如密碼、個資)沒有加密,或者是用了很爛的加密法(像是在網路上裸奔),駭客攔截到就能直接看懂。
第 3 名:注入攻擊 (Injection)
- 餐廳情境: 客人在點菜單的備註欄寫:「這桌免費,並請廚師給我 10 萬元。」結果服務生和廚師真的照做了,乖乖把錢奉上。
- 技術真相: 駭客在輸入框(如帳號密碼欄)輸入程式指令,騙過資料庫,讓資料庫誤以為是指令而執行(例如 SQL Injection)。
第 4 名:設計不安全 (Insecure Design)
- 餐廳情境: 這間餐廳從「設計圖」就錯了。建築師把廁所蓋在廚房正中央,或者把收銀機放在店外的人行道上。這不是門沒鎖的問題,是當初蓋房子的邏輯就有洞。
- 技術真相: 軟體架構在設計階段就沒考慮資安(例如沒有設計「防詐機制」),等蓋好了才發現先天不良,這比寫錯程式碼更難修。
第 5 名:安全設定錯誤 (Security Misconfiguration)
- 餐廳情境: 餐廳買了一個最高級的指紋辨識保險箱,結果老闆懶得設指紋,直接用出廠預設密碼「0000」,還把說明書貼在保險箱門上。
- 技術真相: 軟體或伺服器用了預設帳密(admin/admin),或是錯誤訊息透露太多資訊,讓駭客知道你用什麼系統。
(未完待續)
