前情提要:跟我一起複習資安睡前故事
OWASP Top 10 2021版(上)今晚,讓 Gemini 繼續用這間兩光的餐廳來講 《OWASP Top 10:2025》的第 9 名,也是很有既視感的一項風險。
第 9 名:紀錄與監控失敗
這條漏洞說穿了,就是你的餐廳 「監視器和保全形同虛設,老闆還有失憶症」。
1. 什麼是「紀錄失敗」?(No Logging)
- 情境: 小偷半夜把金庫搬空,順便煎了一塊牛排吃,臨走前還在牆上簽名。
- 隔天早上的老闆: 「奇怪,錢怎麼沒了?誰拿的?什麼時候拿的?」
- 這條漏洞的監視器: (一片黑) 「別問我,我根本沒插電。而且我們的訪客登記簿上次用完就沒買新的了。」
- 一句話解釋: 系統沒有把「誰來過、做了什麼壞事」記下來,駭客來去一陣風,船過水無痕。
2. 什麼是「監控失敗」?(No Monitoring)
- 情境: 監視器其實有拍到小偷正在鋸保險箱,警報器也響了整整兩小時。
- 這條漏洞的保全: (戴著降噪耳機追劇中) 「在那邊叫什麼叫!沒看到我在忙嗎?」然後伸手把警報器關掉,繼續看劇。
- 一句話解釋: 就算系統有紀錄,但根本沒人看,或者警報響了也沒人理,直到警察(第三方)找上門才知道出事了。
總結
這條漏洞的可怕之處在於:
根據統計,駭客入侵後平均會在你家「潛伏」200 天以上才被發現。🪳
為什麼?因為 A9 的受害者通常都是:「蛤?我們被駭喔?什麼時候?(黑人問號)」
