Page 70 - Vol.17
P. 70
Tech
Notes
技術專文
圖一、CAPTCHA 範例 圖二、使用者密碼及一次性密碼雙重認證流程
CAPTCHA
This question if for testing whether
you are a human visitor and to
prevent automated spam Step 1: Enter username/password
submissions.
Step 3: One-time password in SMS
Step 4: Enter One-time password
What code is in the image?:
Enter the characters (without spaces)
shown in the image. Step 2: Mobile phone number lookup
系統。 圖形驗證碼 圖一 掃瞄就是一種主動的防範措施,可
駭客與反駭客的攻防戰中,雙方的 (CAPTCHA, Completely 以有效降低駭客攻擊成功的機會,
手法都是日新月異,駭客利用企業 Automated Public Turing test to 做到防患於未然。
內部網站應用程式的安全弱點 / 漏 tell Computers and Humans Apart)
洞,攻進企業內部獲取或破壞企業 會由伺服器方自行生成一個蜷曲斜
重要的資訊資產;這些弱點的存在 體的文數字要求使用者解答,因為 程式原始碼分析
Source Code Analysis
對公司無疑造成潛在的威脅,公司 只有人類能解讀這個驗證碼,可有
針對所有網站應用程式,尤其是牽 效的防止惡意的利用機器人 / 電腦 在軟體發展過程中,如果可以愈早
涉到外部網際網路使用範圍的系 程式暴力破解方式進行不斷的登入 發現軟體的弱點,就愈能降低其漏
統,都必須符合公司制定的安全規 嘗試。 洞 所 帶 來 的 風 險。 而 Fortify SCA
範。反駭客機制繁多,接下來本文 就是針對原始碼之自動化檢測與分
析工具,可以有效、完整及精確地
將針對公司主要及適用於大部份應
協助開發人員找出程式碼中的弱
用系統的機制進行介紹。 一次性密碼 圖二
點,避免有心人士利用該弱點來入
(OTP, One-Time Password)
侵、攻擊甚至竊取商業機密資訊。
使用者身份認證 由伺服器端隨機產生一組數字密碼 且此輔助工具支援多種程式語言開
Identity Authentication 發送至使用者的裝置例如行動電 發,可彈性的根據需求來改變弱點
使用者身分識別是網路服務最基本 話,使用者登入除了輸入自行設定 分類及過濾的條件,即時的弱點更
的基礎建設。從每天一開始開啟電 的密碼外還必需同時輸入 OTP 達 新亦可確保新型攻擊方式的防護。
腦的作業系統開始、收發 Email、到 到雙重認證方式。
依工作內容會使用到的應用系統,
都需要通過使用者身份的認證。正 非軍事區網路架構
弱點掃描 DMZ Architecture, Demilitarized
因為資料存取權限都是經由身份管
Vulnerability Assessment Zone Architecture
控,一旦身份被冒用就代表著重要
與侵入測試 Penetration Test
資料將可能被竊取。接著我們將說 DMZ (Demilitarized Zone),為一種
弱點掃瞄技術可大致分成侵入 網路架構的佈置方案,常被使用的
明加強身份認證主要的三種方式。
式 (Intrusive) 及 非 侵 入 式 (Non- 架設方案是在不信任的外部網路和
Intrusive) 兩種,是用來檢查系統是 可信任的內部網路之間,將部分用
加強密碼強度
否有弱點可供駭客利用;不僅僅是 於提供對外服務的伺服器主機劃分
公司目前要求所有應用程式必須將 利用目前已知的弱點進行檢測,還 到一個特定的網段內。在 DMZ 的
身份認證密碼強度提高,並且強制 會模擬惡意使用者的行為,幫助我 主機能與同處 DMZ 內的主機和外
其使用者進行密碼重設使其生效。 們了解到目前系統環境的漏洞,進 部網路的主機通信,而同內部網路
公司制定的高強度的密碼規則包 而利用系統升級或者修改環境設定 主機的通信會被受到限制。這使
含:務必至少 12 個字元、混用英 等方式,來將漏洞所帶來的風險降 DMZ 的主機能被內部網路和外部網
數字元以及不能與最近三次密碼重 到最低。如果說防火牆和網路監控 路所訪問,而內部網路又能避免外
覆等。 系統是被動的防禦手段,那麼弱點 部網路所得知。簡單來說,這樣的
70
