避免駭客入侵 四方法降低風險
更新日期:2009/10/21 14:56 呂明潔
http://tw.news.yahoo.com/article/...115/1tee8.html【台灣醒報記者呂明潔報導】網路購物、交友等都可藉網站達到目的,但是你正在瀏覽的網站真的安全嗎?成功大學電機工程學系教授賴溪松在10月《科學發展》月刊中表示,「沒有任何一個網站是安全的。」他提出四大方法減低駭客入侵風險,包括不上高風險網站、定期更新修補程式、勿隨意點選信件中的連結,及善用「我的最愛」功能。
在部落格上使用密碼鎖住文章、照片,真的有用嗎?賴溪松在〈網站安全停看聽〉一文中指出,當使用的網站有資料庫防護的漏洞,等於是把密碼自動奉送給駭客。因為真正高明的駭客不會浪費時間猜測密碼,而是直接讀取儲存密碼的網站資料庫。
一般人認為,瀏覽知名網站可降低遭駭客入侵的風險。但根據Google調查,全球共有10%以上的網站暗藏危機。甚至有研究報告指出,每天共可檢測出近3萬個含有惡意程式的網站,其中高達80%是合法網站。賴溪松認為,這代表使用者依賴、信任的網站,隨時處在被駭客攻陷的危機中。
成大資通安全研發中心專案經理鍾沛原在文中表示,根據國際研究組織OWASP(Open Web Application Security Project)的調查統計,SQL Injection和XSS攻擊手法分別是排名10大網站安全威脅的前兩名。
SQL Injection可趁機竊取網站機密資料,例如使用者帳號密碼,造成網站和使用者的損失。XSS攻擊不只可竊取網站的資料,還包含個人電腦的資料和掌控權。
賴溪松提出四種方法,降低遭駭客入侵的危險。包括不上高風險網站,如色情網站、駭客教學網站、論壇網站(提供音樂、電影等非法檔案分享)等。這類網站的使用者容易下載網站或軟體、檔案,提供駭客散播惡意程式(病毒)的機會。
其次是定期更新修補程式(包含作業系統、瀏覽器、應用軟體等),做好資安防護的基本配備。還有勿隨意點選信件中的連結,以免連上惡意「釣魚網站」,洩漏個人資料。
最後是善用瀏覽器「我的最愛」功能,將固定使用的網站連結,記錄在電腦中,減少間接連結的風險。