前篇請見:
跟我一起複習資安睡前故事:OWASP Top 10:2021版(上)
我預感這個系列真的會變睡前故事,分為「看了直接睡死」或「看完睡不著」兩種,我大概處在兩者的疊加態。
以下的《OWASP Top 10:2021》雖然已經是老黃曆,但不妨礙我們繼續複習,看看哪些風險越陳越香(?)了:
第 6 名:使用易受攻擊的組件 (Vulnerable and Outdated Components)
- 餐廳情境: 廚師堅持使用一個 20 年前生產、已經生鏽且沒有零件可換的壓力鍋。大家都知道那個型號會爆炸,但廚師說:「以前用都沒事啊!」結果今天就爆了。
- 技術真相: 網站用了很久沒更新、已知有漏洞的舊版程式庫(Library)或框架,駭客只要查一下那個舊版本的漏洞手冊,就能輕鬆入侵。
第 7 名:身分驗證失敗 (Identification and Authentication Failures)
- 餐廳情境: 餐廳規定要有「VIP卡」才能進包廂。但門口的保鑣只要看到有人拿著一張「畫著 VIP 的紙」就放行,甚至不管那張紙是不是影印的。
- 技術真相: 網站允許設定像是 "123456" 這種爛密碼,或是登入失敗不鎖帳號(讓駭客可以無限次猜密碼),也沒有雙重驗證(2FA)。
第 8 名:軟體與資料完整性失敗 (Software and Data Integrity Failures)
- 餐廳情境: 廚師正在煮湯,快遞員送來一包標示不清的白色粉末說「這是鹽」,廚師看都不看、驗都沒驗就整包倒進湯裡。結果那是老鼠藥,食安大失敗。
- 技術真相: 軟體在更新或下載外掛時,沒有檢查數位簽章(確認來源是否乾淨),導致下載到被駭客掉包過的惡意程式。
第 9 名:紀錄與監控失敗 (Security Logging and Monitoring Failures)
- 餐廳情境: 小偷半夜進來搬空了收銀機,還在桌上吃了一頓飯。隔天老闆來上班,發現監視器根本沒開,警報器也是壞的,完全不知道是誰、什麼時候進來的。
- 技術真相: 系統沒有詳細記錄誰登入過、誰失敗過,或者發生攻擊時系統「安靜無聲」,沒有通知管理員,導致駭客潛伏了好幾個月都沒人發現。
第 10 名:伺服器端請求偽造 (SSRF)
- 餐廳情境: 這有點像詐騙電話。騙子打電話給餐廳服務生(伺服器),假裝是老闆,說:「你去對面的銀行,幫我把戶頭的錢全部領出來匯到這個帳戶。」服務生因為相信這是內部指令,就乖乖照做了。
- 技術真相: 駭客誘騙伺服器去存取它本來不該存取的內部系統(例如內網的其他機器),把伺服器當成跳板來攻擊內部網路。
至此,2021 年的資安鬼故事已完結,大家以後都知道怎麼搬空一家餐廳了齁?
下回開始,將繼續連載 2025 年熱騰騰剛出爐的新番。
(也許之後還會有番外篇:OWASP Top 10 for LLM 也說不定)
