前情提要:跟我一起複習資安睡前故事
OWASP Top 10 2021版(上)時間還早,而且A8和A7並不複雜,今天說不定可以一個晚上吸收兩條 OWASP top 10 風險小知識。讓我們跟隨 Gemini 老師的步調,先從第 8 名開始~
第 8 名:軟體與資料完整性失敗
這條漏洞相當於你的餐廳全員「毫無戒心,路邊撿來的東西也敢吃」。
1. 什麼是「不檢查來源」?(Code Signing / Updates)
- 情境: 餐廳訂了一箱鹽巴。快遞員送來的時候,箱子上的封條已經被撕開過,而且裡面裝的粉末還是藍色的(被駭客掉包成老鼠藥)。
- 這條漏洞的廚師: (豪邁) 「哎呀!這一定是新品種的海鹽啦!」直接整箱倒進湯裡。
- 一句話解釋: 軟體自動更新或下載外掛時,沒有檢查「數位簽章」(封條),駭客把惡意軟體偽裝成更新檔,系統就笨笨地安裝了。
2. 什麼是「不安全的還原」?(Insecure Deserialization)
- 情境: 奧客遞給廚師一個上鎖的神秘鐵盒,說:「這是冷凍的高級食材,你把它解凍就會變成一道好菜。」
- 這條漏洞的廚師: (聽話) 「好喔!」直接把鐵盒丟進微波爐加熱。
- 結果: 鐵盒裡裝的不是食材,是炸彈。微波爐爆炸,廚房全毀。(炸廚房真是屢試不爽的好例子,詳見:從「炸廚房」看懂AI風控:聰明的模型為何也會被騙?)
- 一句話解釋: 系統接收了駭客傳來的「不明資料物件」,沒有先過濾檢查就直接還原(執行),結果那是一段會爆炸的惡意程式。
總結
這條漏洞告訴我們:
在網路上,沒有「數位封條」的東西,就跟路邊開過的飲料一樣,絕對不要喝。 ☠️
