惡意網頁成為臺灣最嚴重網路犯罪手法

根據刑事局科技犯罪防治中心統計，惡意網頁已經成為臺灣排名第一的網路犯罪手法。這種資安威脅的趨勢，不僅與多個資安社群或資安廠商的研究報告相符，日前 這類的攻擊手法，更從義大利感染44,000臺電腦，開始向外蔓延。為了杜絕惡意網頁的威脅，資安廠商建議，從根本確保良好的程式撰寫習慣，也可利用靜態 或動態的源碼檢測工具做系統上線前的最後把關。

刑事局科技犯罪防治中心主任李相臣表示，從去年1月迄今，各種犯罪手法中，只有網路犯罪的破案率追不上犯罪率。在層出不窮的網路犯罪手法中，瀏覽惡意網頁更取代系統漏洞（包含SQL Injection或XXS等），成為今年度最嚴重的網路犯罪手法。

從網路應用安全組織OWASP日前公布的2007年10大網頁（Web）安全漏洞來看，OWASP臺灣分會會長黃耀文表示，排名第一名的XSS （跨站腳本攻擊）以及第二名的SQL／Command Injection惡意指令攻擊手法，是主要造成企業資料外洩的主因；第三名則是所謂的惡意網頁。OWASP臺灣分會成員蔡忠宏則表示，臺灣、美國的資安 威脅仍以XXS及SQL Injection為主，但許多惡意網頁或者網頁被置換，則多是利用上述系統漏洞，改變網站權限、植入木馬程式所致。蔡忠宏表示，10大網頁安全漏洞雖然 切實反應網路現況，但臺灣、美國企業對資安議題的重視程度有極大的差異。即使，臺灣日前已爆發多起知名企業網站，被植入惡意程式的資安事件，但類似惡意網 頁的犯罪手法仍層出不窮。

此外，根據資安廠商Sophos統計，光是5月份，就發現304,000個惡意網頁，平均每天發現9,500個惡意網頁，比起4月份每天只發現 1,000個惡意網頁，暴增近10倍之多。其中，利用「iFrame」隱藏惡意程式的手法，更占5月份所有網路威脅的2／3（65.5％），是網路與電子 郵件惡意程式排行榜第一名。iFrame技術可以讓網頁「嵌入」另外一個外部網頁，當網友瀏覽合法網頁時，駭客將被嵌入惡意網頁的高度設為0，視覺上雖然 看不到，卻仍可執行惡意網頁的指令。駭客便利用此一隱藏惡意程式的手法，趁機執行植入木馬等惡意程式的動作。

而6月16日在義大利造成大規模電腦遭惡意程式攻擊的資安事件，駭客便是隨機挑選不安全網站做為跳板，並在這些網站中植入 HTML_iFrame.CU的惡意連結程式。臺灣趨勢科技資深技術顧問戴燊表示，網友一旦點選該惡意網頁，便會被連結到另外一個IP位址，並且趁機植入 JS_DLOADER.NTJ這個會利用微軟IE漏洞，入侵電腦並竊取資料的惡意程式。由於此一攻擊手法為多層次攻擊，被植入惡意程式的網站不僅不會出現 特殊畫面，受感染電腦也不會出現當機或開機速度變慢的現象，這是網路使用者難以察覺，已遭到惡意網頁攻擊的主因。

根據Sophos的統計，中國（包含香港）是主要發動惡意網頁攻擊的國家，超過一半（53.2％）的惡意網頁來自中國，且利用iFrame散布惡 意程式的網頁數量，仍持續攀升中。其次為美國（27.4％）、德國（5.1％）、俄羅斯（3.5％），臺灣名列第八名惡意網頁發起國（0.8％），比例與 其他國家相比仍低。

面對這樣的惡意網頁威脅，究竟該如何根治？蔡忠宏表示，符合SDLC（軟體開發生命周期）的網頁應用程式，是最好的解決之道。一般而言，在程式開 發階段，可以透過自動化源碼檢測的方式，以白箱測試的方式，測試系統的安全性。阿碼科技（Armorize）已經針對PHP和J2EE(Java、 JSP)推出CodeSecure源碼檢測工具；Fortify日前則針對Java推出Fortify Source Code Analysis 4.5。

在系統測試上，可以透過滲透測試的黑箱測試方式，不侷限何種開發語言和平臺，針對各種可能的系統漏洞做攻擊。Fortify推出Fortify Tracer，日前被IBM併購的WatchFire，以及被惠普併購的SPI Dynamics，都是針對系統測試階段，以類似滲透測試的方式作黑箱測試。此外，透過弱點掃瞄，同樣可以查出系統中的缺失、漏洞之處。

對於惡意網頁的攻擊，定期更新瀏覽器的修補程式（patch）以及防毒軟體的最新病毒碼，戴燊認為，「這是基本的防護之道。」但面對惡意網頁常見 的攻擊手法，不論是首頁置換手法、惡意程式植入，甚至網站結構破壞、網站內容遭竄改等，除了使用常見的網頁回復工具外，阿碼科技日前也推出以SaaS（軟 體代管服務）方式提供的「網站入侵即刻通報服務（CodeSecure Protector）」，監控企業網站的安全。

文⊙黃彥棻


OWASP 2007年10大網頁安全漏洞
1. 跨站腳本攻擊（XSS）
2. 惡意指令攻擊手法（例如SQL／Command Injection）
3. 惡意檔案載入執行（例如惡意網頁）
4. 不安全檔案直接讀取
5. 合法使用者夾帶惡意HTTP指令（CSRF）
6. 執行錯誤訊息、外洩敏感資料（包括系統檔案路徑）
7. 身分驗證功能有缺陷
8. 機敏資料未做適度的加密儲存
9. 傳送機敏資料未使用加密通道
10. 網頁權限控制失敗
資料來源：OWASP臺灣分會，2007年6月