以下文章來自:iThome
外包製作網頁風險頻傳 趨勢也受害
文/趙郁竹 2008-06-05
趨勢科技經過此事件後,對協力廠商的稽核會更加嚴格,對網站安全性的要求也會更加注意。精誠資訊則會將網站原始碼收回,自行管理。
趨勢科技官方網站中透過外包製作的活動網頁上週遭駭客攻擊,雖然為示威性的攻擊,對瀏覽者並不會遭成威脅,不過此事件也凸顯出企業將網站交由外包廠商製作時,應更加注意風險問題。
趨勢科技網站下的其中一活動網頁,在上週被Zone-H發現遭駭客入侵,對此趨勢科技資深技術顧問戴燊表示,的確發現駭客在網頁中加入文字,但並沒有植入惡意程式碼,不是獲利型攻擊,較像早期的示威型攻擊。該網頁為一問券調查活動網頁,是趨勢交給協力廠商製作,發現問題後已緊急通知廠商處理。
許多不黯網頁製作的企業都會將網站交由專業的外包廠商進行製作,事實上,即使是從事IT產業的科技公司,也不可能從頭到尾網頁都一手包辦。戴燊就說,趨勢科技主要的入口、產品網頁當然是自行製作,不過像這次被入侵的網頁是一個問券調查活動,這種專案型網頁就會交由協力廠商製作。「大部分企業的網頁都不太可能全部自己做。」他說。
而交由外包廠商製作的網頁出現風險漏洞的例子也相當常見,例如代理多款資安產品的精誠資訊網站也曾在上月(5)有多個頁面遭駭客植入惡意程式。當時精誠回應表示,出狀況的網頁都是交由外包廠商製作,而早期製作網站所考慮到的安全性已不足以面對現今的攻擊,因此會將原本外包製作的網站原始碼收回自行管理,並重新改版。
另外本週(6/3)世貿官網首頁被植入惡意程式,外貿協會也表示該網站是外包製作。不過當時正值Computex開展前一天,因此瀏覽查詢展場資訊的使用者較平常來的多,影響範圍也變大。
而趨勢科技經過此事件後,對協力廠商的稽核會更加嚴格,對網站安全性的要求也會更加注意。精誠資訊則會將網站原始碼收回,自行管理,短期先進行漏洞修補,中長期還會進行網站改版、集中管理等規劃。
對於這樣的情形,McAfee技術經理沈志明則建議,在資安管理上人力不足或缺乏資源的電子商務網站、網站管理者,即使必須將網頁外包,也可利用安全掃描工具定期檢查網頁。例如McAfee的Hacker Safe工具,使用者可以自行設定掃描排程,若是通過檢查就會在網頁上嵌入安全認證標章。
這次遭示威性的駭客攻擊尚不會影響瀏覽者安全,不過日本趨勢科技曾在今年3月遭植入惡意程式,使用者電腦可能感染木馬。不過事實上,趨勢才在4月份推出針對網站安全的掃描服務Worry Free Security,可同時判別網站的安全漏洞及惡意連結。這項服務主要是針對以網站經營為主的企業,例如電子商務。