水利署所謂的隱碼攻擊真是救命啊~

水利署一直通知我的委辦單位說,我目前維護的系統有隱碼攻擊的漏洞,還拿 SQL Server 安全設定說明,要求改善系統(救命啊,隱碼攻擊裡面的 SQL 是指 SQL 語法,不是 SQL Server)…
 
由於委辦單位當初的要求,那個系統根本沒用資料庫,所有的資料都是資料檔(我也很想換成資料庫 >_<),所以不可能發生隱碼攻擊,我也沒有把資料檔查詢轉成用 SQL 語法處理,可以肯定絕對是水利署測試人員判斷錯誤,所以我這邊一直回報沒有隱碼攻擊的漏洞。
 
周三去水利署安裝系統,相關人員又要求改善,直接面對面溝通,原來他們所謂的隱碼攻擊是指不能出現 IIS 預設錯誤訊息,救命啊~ 下次能不能用比較適當的名詞,這樣才好溝通吧?
 
台北這邊的承辦人說,是水利署台中資訊室進行攻擊測試,像是找不到檔案或是語法錯誤等訊息均不能出現在網頁上。
 
推估最早的原因是要避免 ODBC 所傳回來的錯誤訊息,例如說:在 Where 語法附近發生錯誤。這類訊息有可能發生資料庫結構外洩、或是提供攻擊者進行語法除錯修正,進而取得管制資料。
 
而找不到檔案或是沒有權限讀取之類的錯誤訊息,基本上是安全的,別的網站不說,光是微軟網站,就是全球最容易被攻擊的前十大網站,還不是有這類錯誤訊息,所以我認為,應該針對隱碼攻擊而考量的,不是這類預設錯誤畫面,而是錯誤訊息不應直接於網頁顯示為主。
 
當然,爭辯無用,所以現場弄了一個 _Error.htm ,將 IIS 所有預設的網頁都導向這個網址(因為不准出現 404, 500 這類可分辨的錯誤代碼,所有的錯誤訊息都必須隱藏),反而導致未來遠端維護不易。而針對 ASP/ASP.NET 預設輸出的錯誤訊息,反而沒有多做要求…
 
真是敗了~ 救命啊~
廣告
Categories: 決策支援系統 | 1 則迴響

文章分頁導航

One thought on “水利署所謂的隱碼攻擊真是救命啊~

  1. QVB

    這就是台灣人阿故意講一些專業的名詞來突顯自己很厲害結果更本就是丟自己的臉還不自知

    喜歡

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

在WordPress.com寫網誌.

%d 位部落客按了讚: