電商平台API和應用程式 網路攻擊頭號目標

編譯/陳佩君

根據Akamai雲端服務公司報告顯示,電商產業在過去15個月中遭受駭客140億次攻擊,這是由於電商的快速數位化以及駭客可利用其目標網頁應用程式中的各種漏洞,所以電商網頁應用程式和API成為攻擊的主要目標。

電子商務產業面臨著日益增加的攻擊風險,因此需要在各個層面加強安全措施,以確保數據的安全性和遵從性。(示意圖/123RF)

Akamai研究人員從2022年1月1日至2023年3月31日的網頁攻擊後進行分析時表示,電商公司儲存大量隱私資料,包括個人身份、付款帳戶詳細資訊等,使電商產業成為最多攻擊的行業之一,也是駭客攻擊的利潤豐厚目標。在Akamai的研究中,零售、飯店和旅遊業是遭受攻擊最多的產業,總共遭受145億次攻擊,佔所有研究中攻擊總數的三分之一。高科技產業排名第二,遭受約90億次攻擊,金融服務產業排名第三,遭受約70億次攻擊。Akamai首席資訊安全長Steve Winterfeld表示,沒有預料電商會以如此大的幅度佔據首位。並表示「在DDoS、網絡釣魚和Web攻擊方面,電商通常位居前三,但它們在應用程序和API方面確實受到打擊,而各行各業也亦是如此。」

電商具有「複雜且動態的攻擊面」,同時影響伺服器和客戶端,其基礎設施很複雜難以保護,因為它包含銷售端和使用網路應用程序和 API 的物聯網設備。報告顯示,其使用第三方供應商腳本通常會利用存在漏洞的開源資料庫,從而增加了另一層風險。而電商另一個挑戰是在疫情期間匆忙推出網路應用程式和API,而沒有進行適當的審核和修復錯誤。駭客利用不良的程式碼、設計缺陷和安全漏洞,讓其面臨更高風險。Winterfeld表示,最大的技術轉型之一是轉向API,而威脅也集中在這方面。為了滿足客戶需求和購物趨勢,企業需要快速響應,這使得維護質量和安全變得困難,但它在資訊安全、顧客體驗方面是極為重要的。」

雖然電商產業的相關風險增加但在資訊安全預算卻沒增加,其與金融服務和醫療保健產業不同,電商領域的最低限度監管只會讓資訊安全問題變得更糟,故其需要相同的資訊安全成熟度水平。Winterfeld進一步說明,可以深入了解電商公司的風險管理在哪裡,將商業與其他受監管產業進行比較是一個更好的衡量標準。」例如金融服務在攻擊中緊隨商業之後。駭客正在追逐金錢,因此金融成為攻擊的另一目標。

根據研究人員的報告,在2022年1月至2023年3月間,駭客在56%的攻擊中開始轉向使用本地文件包含(Local File Inclusion,LFI)方法,而不再主要使用SQL注入(SQL Injection)和跨站點腳本(Cross-Site Scripting)攻擊手法。LFI成為商業攻擊中最主要的手段,XSS攻擊和SQL注入攻擊的數量分別增加近一倍,分別佔攻擊的24.19%和12.24%。從2021年Q1到2022年Q3的LFI攻擊活動增加超過300%。

研究人員指出,現在駭客發現利用LFI漏洞更有利於掃描網絡目標和暴露更深層次的資訊,導致目錄穿越攻擊(Directory Traversal Attack)和更大範圍的破壞。這與幾年前情況不同,當時SQL注入攻擊主要只允許訪問敏感資訊,而被利用的LFI漏洞通常可能通過攻擊鏈遠端執行程式碼。LFI漏洞主要由不正確的輸入驗證或未正確清理的程式碼碼引起,這可能允許駭客未經授權訪問的資訊在伺服器上獲得特權,從而導致系統完全受損。

LFI是該產業最緊迫的問題,但還有其他與資訊安全相關的問題,如:

  • Magecart 和 Web skimming 攻擊:這是一種網路掠奪攻擊,駭客利用電商平台腳本的漏洞,將惡意程式碼注入到付款頁面等地方,以竊取客戶的付款詳情和個人身份資訊。在英國航空公司案例中,駭客濫用該公司付款頁面中的第三方腳本,從而竊取機密的用戶資料,如支付資料等。這次攻擊影響超過350,000名客戶,導致被「通用數據保護條例」(General Data Protection Regulation, GDPR)處以2000萬英鎊(新台幣約7.7439億元)罰款。
  • SSTI(Server-Side Template Injection)攻擊:是駭客利用伺服器端模板注入漏洞進行攻擊的,駭客可通過注入惡意模板腳本執行任意程式碼,進而洩露敏感資料或實現遠端執行程式碼。
  • SSRF(Server-Side Request Forgery)攻擊:駭客利用伺服器端的請求偽造漏洞,使伺服器發起未經授權的內部請求,並在駭客控制下運行命令或存取內部資源。Hafnium發起SSRF用來攻擊Microsoft 的 Exchange影響60,000個包括商業在內的企業組織。

總結而言,電子商務產業面臨著日益增加的攻擊風險,因此需要在各個層面加強安全措施,以確保數據的安全性和遵從性。意識到自身面臨的風險,並採取相應的保護措施。這樣可以幫助企業更好地了解整個產業的安全趨勢和威脅,並做出相應的應對策略,以保護自身的業務和客戶資料安全。

資料來源:BankInfoSecurity

瀏覽 768 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button