漏洞
該標籤下有 18 篇文章
MOVEit 大規模資料外洩(2023)—— SQL 注入零時差漏洞波及 2,700 多家組織的原因與防禦
入口是面向網際網路公開的檔案傳輸產品 MOVEit Transfer 的 SQL 注入零時差漏洞(CVE-2023-34362)。攻擊者植入 Web shell(LEMURLOOT),從後端資料庫批量竊取資料,致 2,700 多家組織、約 9,330 萬人的資料外洩。許多受害者是因為委外廠商、合作方使用了 MOVEit 而被間接牽連。在你的環境中,可透過 KEV 即時修補、最小化暴露面、Web↔DB 的最小權限與隔離、委外廠商盤點與資料最小化來防範。
CORS 是什麼 — 原理,以及設定錯誤(CORS misconfiguration)會引發什麼
CORS 是瀏覽器用來控制「其他來源的 JS 能否讀取自己 API 回應」的機制。設定錯誤=反射任意 Origin,或把 Access-Control-Allow-Origin:* 與認證資訊同時使用,會導致第三方網站讀取到已登入資料。核心防禦是採用白名單方式、不要不加判斷地反射 Origin、預設拒絕。
工作階段固定(Session Fixation)是什麼 — 讓使用者用攻擊者準備好的 ID 登入的漏洞
工作階段固定是攻擊者預先準備一個已知的 session ID 讓受害者使用,待其登入後用該 ID 冒充受害者的攻擊。關鍵防禦是『每次登入(以及權限變化)時都重新產生 session ID』。禁止從 URL 接收 ID,並用 HttpOnly/Secure/SameSite 加固 Cookie。
IDOR 是什麼 — 僅靠改寫 ID 就能看到他人資料的漏洞
IDOR 是一種僅靠把 ?id=124 改成 125 就能看到他人發票、個人資訊的存取控制缺陷漏洞。關鍵防禦是「在伺服器端每次校驗『目前登入的這個使用者,是否可以查看該物件』」。難以猜測的 ID 並不能算作對策。
什麼是點擊劫持 — 用透明陷阱讓你按下「看不見的按鈕」的攻擊
點擊劫持是用透明的 iframe 把自己的網站疊加到另一個網站上,誘導使用者執行非本意操作(轉帳、修改設定、同意授權)的攻擊。核心防禦是「不讓自己的網站被嵌入到他站的框架裡」=CSP frame-ancestors 與 X-Frame-Options。
什麼是開放重新導向(open redirect)——以受信任的 URL 為跳板,被轉到別的站點
開放重新導向是指可以在 ?next= 等跳轉目標參數裡塞入外部 URL,從而以受信任網域為跳板把使用者轉到別的站點的漏洞。它會成為 phishing 的基礎。真正的防禦是「跳轉目標不接收外部 URL/只允許允許清單或相對路徑」。
路徑遍歷是什麼 — 用 ../ 讀取伺服器上「本不該交出的檔案」的漏洞
路徑遍歷是一種在檔名輸入中混入 ../,從而逃出基準目錄、讀寫 .env、設定、金鑰等的漏洞。關鍵防禦是「不把使用者輸入直接用作檔案路徑」「先正規化再將其限制在基準目錄內」。
CSRF(跨站請求偽造)是什麼 — 讓登入中的使用者「被擅自操作」的攻擊
CSRF 是一種擅自讓登入中使用者的瀏覽器發出「並非本人本意的操作」的攻擊,它濫用了瀏覽器自動傳送 Cookie 的特性。關鍵防禦是 CSRF Token+SameSite Cookie。不用 GET 來改變狀態同樣重要。
什麼是 SQL injection(SQLi)——能用輸入改寫資料庫命令的漏洞
SQLi 是一種讓輸入被當作「命令的一部分」而非「資料」來解釋、從而改變資料庫查詢含義的漏洞,直接導致資料被讀取、被竄改、被全部刪除。真正有效的防禦是「停止字串串接,用佔位符(prepared statement)傳值」。
XSS(跨站指令碼)是什麼 — 讓程式碼在他人瀏覽器中被擅自執行的漏洞
XSS 是一種讓攻擊者準備的字串「作為指令碼」在另一名使用者的瀏覽器中被執行的漏洞,直接導致工作階段被竊取與冒充。真正關鍵的防禦是「輸出時跳脫」。不破壞框架的自動跳脫是最有效的對策。
什麼是 CVE — 給漏洞編上「統一編號」的機制
CVE 是給漏洞分配的全球通用識別編號(例如 CVE-2025-12345)。它讓所有人能用同一個名字引用同一個漏洞,是對策與監控的起點。CVE=名字、CVSS=嚴重程度、KEV=是否正被利用,職責各不相同。對個人而言,用機器監控來追蹤才實際。
什麼是 RCE(遠端程式碼執行)——為什麼它是最糟一類的漏洞
RCE 是一種讓攻擊者能在伺服器上執行任意程式碼的漏洞。它不止於資訊外洩,而是直接通向被接管,屬於最糟一類。被害範圍由「該程序的權限」決定。防禦的關鍵在於迅速更新、CVE 監控、最小權限。
CVSS 是什麼 — 漏洞的「嚴重程度評分」,以及它的評分標準
CVSS 是用 0.0~10.0 表示漏洞嚴重程度的通用分數。分數由「攻擊途徑・複雜度・所需權限・使用者互動・影響範圍・CIA」這些既定指標透過公式算出。懂了標準就能讀懂 10.0 的含義。不過優先順序還要結合 KEV(是否正被利用)和你自己是否在用來一起判斷。
什麼是 SSRF(伺服器端請求偽造)
SSRF 是利用外部輸入的 URL,讓伺服器去存取內部資源(內部 IP 或雲端中繼資料)的攻擊。只要做了去取得 URL 的功能,就必須有目標 allowlist、內部網路阻斷,以及堵住重新導向 / DNS 重新解析的繞過路徑。它也是 Capital One 事故的入口。
Equifax 資訊外洩事件(2017)——未修補的 Apache Struts 導致 1.47 億人外洩的原因與防禦
原因是『把已經發布修復修補程式的已知 CVE(CVSS 10.0)沒有套用到公開系統上』。監控設備因憑證失效導致長達 76 天都沒察覺資料外帶,使損失擴大。在你的環境裡,要用資產盤點、修補 SLA、機器監控、偵測健全性來防止重演。
Heartbleed(CVE-2014-0160)——加密通訊的根基洩漏了記憶體的事件
OpenSSL 的記憶體越界讀取,可能洩漏私鑰乃至工作階段的事件。根源是回傳的記憶體比請求長度更多的實作錯誤。教訓是『按已外洩處理=重新簽發憑證、徹底更換金鑰與機密』,以及監控根基軟體、重視記憶體安全的價值。
Log4Shell(CVE-2021-44228)——讓全世界一夜之間為『不知道自己是否在用』的漏洞而戰慄的一天
Log4j 的漏洞(CVSS 10.0)。本質在於『經由間接相依(傳遞性相依),在不知不覺中正在使用』的恐怖。日誌輸出這一被動處理成了攻擊通道。SBOM 與相依套件的機器化監控、迅速修補、對後續 CVE 的追蹤,都是教訓所在。
XZ Utils 後門(CVE-2024-3094)——『信任本身』被瞄準的供應鏈事件
壓縮函式庫 xz 中被一名贏得信任的維護者植入了後門的供應鏈攻擊。在即將進入穩定版的前一刻,一名技術人員憑『慢』這一違和感把它攔下。被瞄準的不是程式碼,而是『人與信任』。教訓是:把相依套件最小化、固定版本、提高可重現性、追蹤違和感、支援維護者。