Fortinet已發布CVE-2020-29015，CVE-2020-29016， CVE-2020-29018和CVE-2020-29019的更新，請盡快更新。

漏洞包含了blind SQL injection、buffer overflow緩衝區溢位、format string vulnerability格式化字串漏洞等。都可能導致駭客可以執行未經授權的代碼或發動DDoS攻擊等。

請更新至以下版本
6.2.4 or above to address the CVE-2020-29015 flaw
6.3.6 or above to address the CVE-2020-29016 and CVE-2020-29018
6.3.8 or above to address the CVE-2020-29019

原文來源:

https://securityaffairs.co/wordpress/113129/hacking/fortinet-fortiweb-waf-flaws.html?fbclid=IwAR3k3Jm_PslTYqVoGbu09psGvSjr5szGuyX8wLR6Ohn-bFN3_AAYgffLdNg

The post 資安專家發現Fortinet的FortiWeb WAF存在多個嚴重漏洞 first appeared on 捕夢網 Blog.

現在你我的網站有著各樣的應用程式，例如常用會員登入、購物車、訂單系統、線上客服等都是。你確認這些程式都安全無虞沒有漏洞嗎？寫程式的是否為了方便，密碼用明碼儲存？訂單沒有加密傳輸，買什麼東西都被看光光？這些沒注意到的小細節，是駭客眼中的大漏洞。可以利用各式各樣的方式鑽進網站，看用戶密碼偷用戶刷卡資料等。輕則以後駭客就用這些來消費，你的網站用戶就是他的提款機。重則資料拿走，賣給詐騙集團賺錢。

WAF是Web Application Firewall(網站應用程式防火牆)縮寫而來。主要用於保護以上提到的應用程式們。方法是監控要連進網站的HTTP傳輸流量，比對病毒、惡意程式資料庫或惡意攻擊手法等，過濾出可疑流量然後把惡意流量拒絕在外，避免用這些漏洞攻擊網站。

網站都希望流量要大，訪客要多。只是訪客一多，難免有閒雜人等想要趁機混入。今天把網站比喻成一棟大樓，WAF就等於大門警衛的概念，針對每一個進入大樓的訪客進行檢查驗證，只允許好的正常的訪客進入，可疑危險的訪客就拒絕他們進入。

前往了解WAF  https://www.pumo.com.tw/security/waf.jsp

WAF能幹嘛？

根據上面所說的，WAF就是用來過濾可疑連線，保護網站的。

根據資安組織OWASP Top 10公布的2020年10大漏洞

Injection 注入攻擊:
Broken Authentication 無效身分驗證
Sensitive Data Exposure 敏感資料外洩
XML External Entities (XXE) XML 外部處理器漏洞
Broken Access control 無效的存取控管
Security misconfigurations 不安全的組態設定
Cross Site Scripting (XSS) 跨站攻擊
Insecure Deserialization 不安全的反序列化漏洞
Using Components with known vulnerabilities 使用已有漏洞的元件
Insufficient logging and monitoring 紀錄與監控不足

我們由此可知攻擊手法千奇百怪，沒有幫網站做過弱點掃描的話，你怎麼知道你的網站程式藏著哪一些漏洞？ WAF就是用來過濾這些針對網站的惡意攻擊的。

如何活用WAF 防禦入侵

為你的網站擋下各式各樣的入侵方式來這裡，不只可以了解 SQL injection 和XSS 跨站攻擊等駭客手法如何攻擊你的網站，還可以了解WAF如何抵禦這些入侵攻擊。最重要的是，明白WAF保障電子商務的安全性，捍衛企業多少無形資產

詳細了解WAF如何抵禦入侵? https://www.pumo.com.tw/security/wafApplication.jsp

IIS 伺服器安全  

WAF可以抵禦IIS伺服器以下漏洞

路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes)DDoS攻擊 / 伺服器入侵

透過執行SaaS(Security-as-a-Service)解決方案，無論網站管理員功力厲害與否，WAF能為網站伺服器提供保護，為網站程式避免掉許多威脅。透過檢測分析網站流量內容，確認是否符合或違反通訊協議、port或IP，避免網站程式被攻擊。WAF能提供優化後的防禦服務，防禦DDoS攻擊、XSS跨站攻擊、SQL Injection、path traversal以及其他網站攻擊技術。

雲端安全

雖然藉由雲端運算跑資料執行程式有一定程度的安全疑慮，然而Google、IBM、Amazon及IT大廠強力推動健康照護以及電子商務等雲端服務，意味著這些安全疑慮是未來雲端發展不得不克服的問題。部屬WAF便是保護網站程式及資料的一種方式，雲端服務商不需額外增添硬體設備，可以安裝在網站程式前面提供保護。

WAF可以抵禦雲端以下漏洞

當部屬完成，WAF即可為網站程式抵禦以下已知的威脅：路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes) / DDoS攻擊 / 伺服器入侵
WAF也能深入執行傳統的安全檢測，例如深度檢測網站服務的流量分析，而這種威脅卻是入侵檢測系統和入侵預防系統常常疏忽掉的。

防禦XSS跨站攻擊

比較常見XSS攻擊的例子，如討論區、留言版或任何能輸入資料的地方，允許使用者輸入HTML、JavaScript，並且正常解析執行。當其他使用者瀏覽這篇留言時，便會執行惡意程式。

為何需要WAF來抵禦XSS跨站攻擊？

• 簡單就能安裝在Apache和IIS伺服器上
• 針對已知或新興的駭客手法進行防禦
• 針對即時防禦，預設最佳化的安全規範
• 提供介面及API，便於管理多台伺服器
• 無需額外的硬體設備，隨業務規模彈性擴充

電子商務安全

電商利益驚人，卻已成駭客眼中肥羊，保障電商安全是當務之急。信用卡盜用及欺詐。信用卡資料安全性對於電子商務來說格外的重要。著名的TJX事件，便是公司沒有採取安全措施的最佳例子，導致9400萬個帳戶遭到入侵，TJX公司被300家以上的銀行聯合訴訟，賠償金額超過70億美金。駭客落網後，發現他透過SQL Injection技術，在各個網站竊取了超過130萬張信用卡資料。

WAF可以抵禦電子商務以下漏洞

常見竊取金融資料的駭客手法:
SQL Injection / XSS跨站攻擊 / Path Traversal
Session Hijacking(會話劫持) / 惡意軟體(Drive-by downloads)

駭客攻擊

不安全的網站越來越多，駭客虎視眈眈您網路上的一切資料 WAF可以抵禦駭客攻擊以下漏洞

一旦決定攻擊目標，便可利用以下方式展開攻擊:XSS跨站攻擊 / SQL Injection / 遠端命令執行 DDoS攻擊 / Path Traversal / 其他一旦找到漏洞，駭客便直接展開攻擊。更可以利用僵屍電腦擴大攻擊範圍，達到最大效果。

信用卡安全

如果網站的信用卡資料常常遭竊的話，除了營業損失之外，還得時常面對法律訴訟以及其他罰款。消費者一旦認定說，在這個網站消費不安全，不願在此消費時，會明顯影響公司的收入。品牌聲譽受損，比任何罰款都來得嚴重。

透過WAF，我們可以即時檢測網站的流量內容，尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。

Apache伺服器安全工具

如果認為Apache伺服器比微軟IIS伺服器安全許多的話，那可真是大錯特錯。跟其他軟體一樣，Apache也是充滿漏洞容易受到攻擊。別把安全視為理所當然，正確設定Apache伺服器

Apache伺服器的安全性一直都在網路管理員的優先名單之內。但你沒有用同樣嚴謹的態度對待這些網站程式的話，還是很容易壟罩在駭客攻擊的陰影中。 常見針對網站程式的攻擊手法有:
XSS跨站攻擊 / 路徑探索(Path Traversal) / SQL Injection
會話劫持(Session Hijacking) / Link Injection / 惡意軟體 / DDoS攻擊

PCI DSS標準規範

為合乎規範安裝WAF的必要性

WAF提供一個直接且節省成本的安全解決方案。不僅合乎PCI標準規範，也針對SQL injection、XSS跨站攻擊和衝著網站程式來的攻擊，提供即時性的防禦。WAF強調預防入侵，而非偵測漏洞。針對網站流量進行深入的封包檢測，在網站程式前架設一道安全防禦。

優點如下：

• 合乎PCI標準規範
• 不需付出額外的研發成本
• 適用於由第三方開發的程式或元件

防護流程示意圖

下方這張圖片可用來說明，每個連線來源與目的都不相同，有登入會員的，有查訂單的。為了不讓所有連線用戶沒有差別的大搖大擺地進入網站，WAF會在進入網站之前，築起一道防護關卡。透過現有的資安威脅資料庫進行流量分析比對，判斷每個連線是否安全，准許安全流量進入網站。那些可疑的、有害的、不信任的流量就排除在外，避免惡意流量入侵網站影響安全性，確保網站的正常營運。

我網站需要WAF嗎？

講完「WAF是什麼？」「WAF能幹嘛？」，一定會有人說「我把程式寫得安全一點才是治本的方法。」把程式寫得很安全，這種思維絕對沒錯。值得鼓勵。

但是怎樣才算是安全沒有漏洞？現在寫得很安全，也許幾個月後駭客有新的攻擊手法！現在寫得很安全，換一個寫程式的，在他眼中網站漏洞百出，你要考慮網站整個重寫嗎？

當然你要重寫程式甚至重寫網站，都是自己的選擇。但是聰明的你要想一想這樣做是否符合成本效益？還是自找麻煩？

WAF扮演重要的網站安全角色。以捕夢網累積服務過很多用戶的經驗，我們明白網站時常經歷歷代不同工程師的改造(？)，每個人的程式邏輯都不一樣。如果沒有統一管理或是依循不同邏輯繼續擴增網站服務，在新舊並存、語法各自為政的狀態下，網站在駭客眼中等同漏洞百出，可是企業往往不自知，讓他們駭客有機可趁。所以「網站需要WAF嗎？」，你認為呢？

WAF對網站的價值在哪？

如果你還是不明白WAF的價值在哪？你可以先想一想你網站價值在哪？

疫情只是催化劑而已，企業將產品及服務轉移到網路上早已是趨勢。在家就可以逛街買東西，手機滑一下就可以轉帳，平板開APP就可以看電影。網站取代了很多實體服務。這時候若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩，導致面臨網站關閉。影響企業銷售、品牌名聲甚至經營存續。跟WAF比起來，網站的價值是否遠大於WAF？是否需要WAF，可以先從網站對您企業所具有的重要性與價值來判斷。

可是裝了WAF不表示就此高枕無憂，網站不需要做其他資安防護。駭客還是有許多其他方式鬧到你的網站生不如死的。

想更多了解WAF，可以參考我們捕夢網的官網https://www.pumo.com.tw/security/waf.jsp

或是打電話或是來信給捕夢網，我們可以針對網站資安好好來聊一聊。
電話:02-8226-9123
信箱:service@pumo.com.tw

#WAF #WEB APPLICATION FIREWALL #網站應用程式防火牆

#SECURITY #WEB SECURITY #弱點掃描

#OWASP #OWASP TOP 10 #網站安全

#網站應用程式安全 #網站安全 #網站漏洞

The post WAF是什麼？WAF能幹嘛？我網站需要WAF 嗎？ first appeared on 捕夢網 Blog.

一般而言， 對於絕大多數的網站系統而言，不一定有專人定期執行漏洞檢測的工作，然而，近年開始有資安社群發起漏洞通報的活動，從這個層面來揭露相關的風險，提醒網站管理者注意，而在臺灣，近四年來，有一個漏洞通報平臺HITCON ZeroDay崛起，這是由社團法人台灣駭客協會建立的社群，他們會不定期揭露最新通報趨勢，例如，在HITCON的活動或臺灣資安大會等場合，發表觀察報告。近日，iThome獨家取得最新年度統計數據，以瞭解最新近況。

特別的是，今年報告新提供了更明確的產業別統計，不像往年，只有粗略區隔出政府、教育與其他單位。其中，2019年收到漏洞通報數量最多的產業，以28.4%的教育業占比最高，12.6%的製造業次之，11.4%的傳播及資通訊服務業排第3，光是這三者加總，就佔所有產業的一半。

多數網站漏洞都是OWASP Top 10的老問題

以2019一整年來看，經過HITCON ZeroDay確認公開的通報數量，共有1,203個。其中，若從通報的漏洞類型來分析，資料庫注入攻擊（SQL Injection）漏洞最多，有423個，其次是XSS漏洞，有230個，第三是任意檔案下載漏洞，有203個，而這三大漏洞類型，在所有漏洞通報的類型中，就佔了7成。此外，資訊外洩與弱密碼名列第四與第五，分別有88個與60個，通報數量也不少。

對於2020年的漏洞通報趨勢，有那些安全問題值得關注？

首先，上述這些發生在臺灣網站的五大漏洞類型，其實都是屬於OWASP Top 10常見的漏洞，範疇包括：注入攻擊、敏感資料外洩、無效的存取控管與跨網站攻擊。

其次，與2018年相比，當時通報的前三大漏洞類型，依序是SQL Injection漏洞、XSS漏洞與資訊外洩漏洞，到了2019年，顯然前兩大類型依然是臺灣多數網站最大問題，儘管在網站安全領域，大家已經呼籲多年，要重視這些漏洞的處理，但還是有多數網站一再發生。

第三，任意檔案下載漏洞與弱密碼的通報數量激增，前者升至第三名，在所有漏洞類型占比從2%升至16.8%，後者也從極低比例升至4%。

對此態勢，HITCON常務理事翁浩正表示，最主要的問題，還是臺灣多數網站依舊存在基本漏洞，容易被攻擊者輕易利用而進行各種攻擊，為何無法改善？他認為，主要的原因在兩個面向，一是國內大型企業、中小企業等網站數量眾多，不一定每個系統都會經過嚴謹的檢測，另一是外包商品質難以管控的問題。

該如何解決？事實上，像是弱點掃描、滲透測試，以及委外廠商資安管控，都是企業資安防護應該做的事，並且實際採取行動。翁浩正不厭其煩地提醒，透過弱點掃描及滲透測試，可有效找出網站弱點是否存在，或者是有無設定疏失的地方，加速找出問題並修復；關於委外的情形，是近年他們會特別呼籲要重視的部份，因為多數企業容易忽略，對此，企業應要求委外廠商進行資安檢測，如滲透測試、原始碼掃描等，而且，對於接受到的資安漏洞通報消息，也要具備在有效時間回覆與修補的能力。

注意連網設備採預設密碼且未更新的問題

在2019年的臺灣漏洞通報趨勢變化中，我們也看到檔案下載漏洞與弱密碼的問題，增加幅度明顯。簡單來說，前者的問題，出在網站沒有下載檢核機制，或檢核機制不夠完整，導致後端系統的資料可以被取得，這意謂著，開發者或廠商並沒有驗證檔案下載的路徑與權限等，屬於基本的漏洞問題。較特別的是，翁浩正指出，當中有一些是通用系統的狀況，因為有廠商為不同客戶開發的系統，性質是相同的，所以都存在一樣的漏洞。

至於弱密碼方面，主要是一般IoT、網路設備常見的問題，嚴格來說不算新的重點，只是容易被輕忽。但這對攻擊者而言，是相當有利的。翁浩正表示，由於一般使用者購入設備與安裝時，都忽略了相關安全問題，而攻擊者的第一步，通常就是嘗試預設密碼、弱密碼，或是透過已經公開的弱點，利用程式進行攻擊。更要知道的是，近期不少攻擊者的作法，是會掃描全球各種尚未修改密碼的設備，直接登入並部署僵屍網路進行攻擊。

因此，最基本的觀念與因應作法，就是企業在設置設備時，要謹記立刻更換預設密碼，並進行系統更新，未來則是要密切注意漏洞修補更新的狀況。

另外，還有一些關於個別漏洞的問題，也很值得重視。例如，我們注意到去年8月底到9月初，有10多家國內企業被通報Pulse Secure SSL VPN存有CVE-2019-11510漏洞，範圍包含壽險業、科技業、營造業與旅遊業等，歸類上屬任意檔案下載漏洞。事實上，相關的設備業者已經發布該漏洞的更新修補，而且，當時也有不少SSL VPN相關的資安新聞，但相隔數個月，仍有企業未更新修補，而被發現並通報到平臺。此外，翁浩正也舉出幾例，都是去年通報較多的部分，包括CVE-2018-13379漏洞，以及通用套件的任意檔案下載漏洞與SQL Injection漏洞。

至於為何教育業的通報數量最多？翁後正認為，主要是學校單位主機數量多，但管理者較少，造成疏於管理的現象。

2019年政府機關網路攻防演練弱點類型現況

資料來源：HITCON Zeroday，iThome整理，2020年3月

在HITCON ZeroDay今年的報告中，有了更具體的產業別統計，因此，整體通報的漏洞在各產業的概況將會更為清晰。整體而言，漏洞通報數量最多的產業，教育業最嚴重，製造業次之，傳播及資通訊服務業排第3。

至於其他產業，占比皆不超過10%，例如，批發及零售業排第4，公共行政相關排第6，金融保險排第13，值得關注的是，像是電力及燃氣供應業，以及用水供應及污染整治業，也有零星的個位數漏洞通報。

回應修補的比例只有2成

再從漏洞通報與修復狀況來看，2019年未修補回應的比例達77%，已回應的比例為23%，其中，回應且確認完成修補的有21.1%。整體來看，面對漏洞通報採正面積極因應的企業，仍在少數。

對於負責這些網站系統的公司或組織而言，為何無法回應漏洞通報與進行修補？

翁浩正表示，可以分成兩大情況來看。第一種是資安意識不足，企業並不知道資安該有哪些具體作為，也可能覺得資安是可以僥倖的事情，因此在沒有強制力的情況下，就不會優先考慮做資安。第二種是委外開發廠商的資安問題（供應鏈安全），例如，委外廠商在開發網站後，可能將這些頁面與應用程式經過客製化，再銷售給不同的企業，因此，當這些技術來源相同的網站存在漏洞時，將連帶導致很多企業受影響，在原始開發商不知道資安漏洞，或是不願投入資源修改程式的情況之下，企業本身較難掌控，只能以合約等方式委託處理。但無論如何，他強調一個重點，就是企業對於資安不能有僥倖的心態。

若要改善這些問題，我們該如何開始行動？例如，業者或組織若能設置專屬資安窗口，就是基本的可行作法，至少讓漏洞資訊能正確傳達。而在開發廠商設計網站時，應考慮到攻擊層面，並要理解攻擊者思維，注意資安防禦較弱的網站，往往是被攻擊的首要目標。

事實上，任何系統都有可能出現資安的漏洞，差別在於發現者的身分是內部人員、合作廠商或外部通報，因此，企業除了主動實施滲透測試之外，額外執行漏洞獎勵計畫的風氣越來越盛行。因此，如何用正確的心態，去面對資安漏洞，才能及早找到並解決問題的根源，而不是為了面子而擱置或摒除這些情報，結果提高了企業商譽因此受損的可能性。面對漏洞通報， 抱持著鴕鳥心態，並無法讓漏洞就此消失，事實上，這麼做反而喪失了修補漏洞的時效，增加被攻擊的可能性。

資料來源: https://www.ithome.com.tw/news/136541

The post 網站漏洞老問題，新時代要有新解法 first appeared on 捕夢網 Blog.