2010年7月2日 星期五

總統府網站分析 III (安全性)

總統府網站雖然相較很多網站並不是那麼重要, 但也因為其特殊性以及政治立場的角色, 是很容易一直被拿出來討論的, 至少這幾天就 Alexa 的觀點來看, 從 3000 名外進到 3000 名內 (見右圖), 流量也瞬間多了四倍, 也可以當作是一個小型的壓力測試了..

至少這段時間也超過內政部與法務部, 感覺起來似乎有點全民網站的味道了, 不會那麼感覺是馬總統粉絲站, 而不是總統府網站了, 所以這七百萬也花得挺有用的.

但話說回來, 一個網站就安全性來看有兩種層面:

1. 該看的人都能看到該看的東西
2. 不該看到的東西被看到


至少就 High Availbility (HA) 的 Load Balancing 等等的機制應該是沒話說, 聽說以前是用 F5, 而這次是不是有換掉我就不知道了, 但應該不是用 Redundent IP 來實作是真的.

而要做多少的壓力測試 (Pressure Test) 我是沒意見, 至少在目前沒掛過的情型下應該是及格的 , 或許至少在沒有被 DOS 或 DDOS 之前是無法真的知道的, 雖然我個人對這套系統是擔心多於信心.

但下一個問題是, 真的有沒有不該看到的東西被看到.

當然就正式與非正式的小道消息知道, 總統府網站的確有做過 Static Code Analysis, 也就是所謂的 SCA, 這個至少避免了許多常見的問題, 包含 XSS, SQL injection, BOF, ... 等等的基本問題都被測試過了, 甚至小道消息是也不少人做了不少嘗試, 最後目前 "只" 發現這個 Explicit Parameters 的 Error Text Handling (ErrTxt) 錯誤訊息處理問題的問題.


因此最後有了這張圖與其 "呼叫網站"....

這篇文章也說個大概, 但實務上我知道有人做的 "嘗試" 遠超過如此, 但也真的只有這樣, 所以我也經過管道也確定有做過 SCA, 但也承認這個問題是 SCA 目前無法直接找到, 是屬於系統設記的問題, 且這對系統的穩定度與完整性沒有任何損害.

但也絕對因為不是透過 "正常網站" 的瀏灠不造成影響與問題, 就說這系統安全性無虞是接近掩耳盜鈴, 畢竟若這是一個 Kuso 網站若有這樣的問題大家還可以拍手叫好, 但若這個是會發布國家級公告的總統府網站就沒那麼有趣了, 因為這很接近 "看到不該看到的東西" 了.

因此若是非總統府網站, 做到這樣已經是誠屬難得的, 但因為這個角色的特殊性, 這問題也是非同小可, 所以最後還是補起來了, 這也足以對後面的工程師與程式設計師讓我在這邊表達敬意, 這是相當認真與努力的表現, 不然依照我做網站的個性, 只有比較糟不會更好. (所以我才打死不接案子)

拉回來, 台灣有多少網站有在做 SCA, 當然我知道大部份的 100 名或 300 名大網站應該可以假設知名的網站 8 成都做了, 當然這個 3000 名沒甚麼人在看的網站有做 SCA 也是該鼓掌一下, 因為我也聽說之前太多的問題發生, 國家級網站已經把這種滲透性測試及 HA, SCA 當作標準流程之一, 說真的我不得不承認這塊是領先業界, 畢竟台灣小型網路公司還真的沒有資源 (人力與金錢) 去做這件事.

最後要我在這項給總統府網站打分數, 我會給 63 分, 比 61 分來得高, 若不是總統府網站會給 80 分以上, 但這個在這邊是不行的, 只是這分數跟我藍綠沒有絕對的關係喔... (大概吧...)

6 則留言:

  1. http://www.mobile01.com/topicdetail.php?f=514&t=1628610&p=10,誰說只有一個問題的?

    回覆刪除
  2. SCA, 請你再去查查正確的英文全名。你這篇胡說八道的文章還是快點下架,免得貽笑大方....

    回覆刪除
  3. to 匿名 A,

    果然寫錯了, 應該是 Static Code, 但不知道還有那邊有錯請指教..

    回覆刪除
  4. to 暱名 B..

    我看了 Mobile 原文, 看起來 Security 的確只有這問題阿? 還是那邊有寫?

    回覆刪除
  5. 網站流量暴增4倍,是該擔心的事,不是值得說成"全民網站",說不定是正在遭受攻擊。壓力測試是該上線之後才做的嗎?
    你文章中貼的,就是XSS漏洞的一種,根本就是程式的疏漏。
    漏洞不只有一個,還有一堆已經被我們發現的沒改,所以不只有一個。我們沒有領大同的錢,問題出在哪請他們QA自己好好測;最好先下線,等所有問題都解決了再重新上線,免得被其他人攻擊。
    僅此

    回覆刪除
  6. 原來Security是請Mobile01測的嗎?
    還是大同以為,網民是應該當他們的QA? 那請大同拿錢出來Share大家好了...
    不然就等哪天被攻破就知道問題在哪,應該也是可以...

    回覆刪除

熱門文章