使用非IE瀏覽器的網友發現,進入遠東商銀網路銀行企業用戶專頁,網頁竟顯示後端伺服器回應訊息,直接曝露後台管理架構,可能導致潛在的資安風險產生。
圖為使用Chrome瀏覽器進入遠東商銀網路銀行企業用戶專區,登入頁即顯示後台控制訊息。
網友發現遠東商銀網站出搥,進入網路銀行企業用戶專頁,網頁竟顯示伺服器回應的程式碼,資安專家認為可能產生後台資安風險。
成立已有20年的遠東商銀被網友發現,進入該行網路銀行企業用戶專頁時,使用IE以外的其他瀏覽器,例如Chrome、Firefox、Safari,網頁竟然顯示後台管理訊息,使用IE瀏覽器則顯示正常網頁內容,讓網站安全暴露在潛在資安風險下。
記者今天(8/23)向遠東商銀反應,上午遠東商銀已修正問題,IE以外的瀏覽器已能顯示正常的網頁內容,但無法估計問題發生的時間有多長,以及是否已產生資安問題。
對此,遠東商銀回應,該行網路銀行服務於5年前曾經過一次大改版,今年初又有一次小改版,可能因為使用網銀企業用戶不多,至今不曾接到使用者反映此問題,經過資訊部門查證,網頁設計之初僅針對主要瀏覽器設計(指IE)才會出現疏失,目前已修正問題,因必需登入系統才會要求用戶資料,目前尚未有直接的資安風險。
不過,資安專家卻指出,雖然沒有直接顯示個人資料,但是基於正常服務的設計原則,將網路銀行後端伺服器的處理程序、指令訊息曝露在外已超出合理程度,有心人士得以一窺後端運作方式,背後曝露的資安隱憂不容忽視。
資安專家表示,從資安的角度來看,任何顯示出不該給用戶知道的訊息都會產生潛在的疑慮,從資料上可看出業者以Java開發應用程式,就掌握的內容來看顯露伺服器判斷用戶端輸入資料的程序,有心人可以從中尋找腳本的蛛絲馬跡,後續從事進一步的攻擊行為。
資安專家表示,從資料上來看應是網路應用程式的撰寫出問題,不支援的瀏覽器將伺服器與應用程式間的回應訊息顯露出來,若有連接資料庫或檔案庫的程序,就容易成為攻擊鎖定的目標。
該起事件突顯了企業應視市場變化調整服務的相容性,尤其是對外開放使用的網路服務,難以限制使用者的瀏覽器,因此視市場變化定期的維運網站有其必要性。
專家認為,每個資安事件背後都有許多成因,以該案例來看,不僅是相容性上的問題,從綜觀的角度檢討整個運作機制,背後衍生出的其他層面問題,例如內部稽核控管、系統設計等等,企業對外提供服務或交易不得不更加小心謹慎。
現在的網路使用環境已是今非昔比,IE雖然還是第一名,但不只市佔率今非昔比,甚至地位還是搖搖欲墜的。不只如此,行動平台的掘起,也正加速稀釋IE的影響力。如若將透過行動平台上網的數字加進去,IE的市佔率恐怕早就已不到一半──甚至正以很快的速度在下滑──行動平台的瀏覽器目前還是以iOS上的Safari以及Android瀏覽器為大宗,IE根本連小三都不是。在這樣新的環境生態裡,保守的銀行與金融企業主們,你還在死抱IE嗎?(轉自: ITHome & IT黑傑克 )
原文: http://blog.yam.com/jackie196/article/59901095
----------------------------------------------------------------------------------------------------------------------------------------------------------------
《希文資訊-主機架設》 www.linuxpro.com.tw 《電腦銷售 電腦維修 Linux維護》
《希文資訊-網頁設計》www.webpro.com.tw 《網頁設計 程式設計 空間租用》
《5185我要買屋售屋網》 www.5185.com.tw 《我要買屋 我要買屋 房屋免費刊登 屋主房仲最佳銷售平台》
《8585買屋賣屋售屋網》 www.8585.com.tw 《買屋賣屋租屋全部免費刊登 屋主房仲最佳銷售平台》
《SEVEN愛心購物網》 www.seven.com.tw 《商品免費上架,大家一起來做公益》
《5247我愛社區》 www.5247.tw 《社區網站 社區財務管理系統,立即申請免費使用》
《太平洋泛舟》funjoy.seven.com.tw 《花蓮泛舟、住宿套裝行程,團體購票優惠中》
----------------------------------------------------------------------------------------------------------------------------------------------------------------
留言列表