iT邦幫忙

22

網頁瀏覽器本身是否也可能成為駭客下手的目標,怎麼做到的?

在網頁安全的領域中,雖然網站伺服器本身是許多惡意攻擊的主要對象,目的是為了癱瘓系統或取得裡面的資料,但事實上,使用者電腦端的網頁瀏覽器也有可能成為駭客下手的主要目標,他們怎麼做到的?
最近我們常常可以看到駭客利用瀏覽器的漏洞竊取使用者信用卡資訊或其他隱私資訊的新聞。為什麼瀏覽器也可能成為駭客下手的目標呢?瀏覽器不是只是一個瀏覽網頁的工具?怎麼也成了駭客竊取使用者資料的工具?相信很多人都會有上述的疑問,究竟駭客怎麼能夠利用瀏覽器來竊取資料?駭客透過瀏覽起能夠得到使用者的哪些個人隱私資訊?要怎麼做才能夠降低被駭客透過瀏覽器竊取自身重要資料的風險呢?這些問題都是每一位使用瀏覽器連上網計網路的朋友們都必須要注意的問題。

瀏覽器功能越加越多,肩負許多重任
駭客會利用瀏覽器的安全漏洞來取得使用者電腦的權限或者是使用者的個人隱私資料,一般大眾都會認為,瀏覽器單傳的只是從網頁伺服器上下取資訊,應當不會有什麼機會被竊取資料才對。在過去網際網路剛開始發展的時候,瀏覽器取代Gopher成為瀏覽資訊最佳的利器,由於瀏覽器含有超連結,可以在文件中嵌入多媒體影音資料,圖片、音樂、影片……等等,讓瀏覽器和網頁的結合,在很短的時間內變取代了Gopher的功能,同時也讓網頁上得資訊迅速的增加,並很快超越了Gopher。然而,只是單純的單向閱讀網頁創作者所提供的資訊,其實是不足以吸引這麼多使用者的。瀏覽器除了單方向的從網頁伺服器下載網頁內容之外,還能夠讓瀏覽網頁的使用者,透過瀏覽器傳遞表單(Form),透過表單來傳遞資料,做到查詢、填寫問卷、聊天室,甚至其他更進階的使用。今天,除了一般的資料查詢之外,我們時常會透過瀏覽器來進行金融交易,網路銀行、網路ATM、線上遊戲、一些收費內容網站的出現,使得我們必須透過瀏覽器來輸入一些與個人身份資料、帳號資訊或信用卡相關的資料,並傳遞到網頁伺服器那一端。

資料有價,引起覬覦
瀏覽器上傳遞的資料越有價值,就越讓瀏覽器成為駭客的目標。當我們再使用瀏覽器輸入表單上的資料內容時,聰明的瀏覽器為了顯得更加的人性化,常會替我們記憶欄位內容。這一項貼心的設計,讓我們操作瀏覽器的時候變得簡便許多,但是越貼心的動作就越有機會產生風險。瀏覽器會幫我們自動填寫帳號、自動填寫密碼時,就表示瀏覽器同時也有著記憶這些帳號和密碼的功能和機制存在。瀏覽器必須儲存帳號資訊和密碼資訊才能夠幫我們自動填寫表單的內容,因此在瀏覽器的快取資料中,便會儲存這些資訊。以Mozilla Firefox為例,它的密碼管理工具曾經出現過漏洞,讓有心的駭客能夠利用漏洞竊取瀏覽器使用者記錄於密碼管理工具內的密碼,有了帳號和密碼,駭客查閱瀏覽器中的網頁瀏覽記錄,就可以知道我們平常會使用這些帳號和密碼登入哪些網站,駭客就有很大的機會能夠從我們瀏覽的網站中,使用我們的帳號、密碼通過身份驗證,接著以我們的身份從事我們平常在這些網站上所進行的活動,有些可能會是需要付費的,也有可能是金融交易或虛擬世界的交易。
駭客有興趣的當然也不會只有這些可以對他們帶來直接利益的資訊。當我們使用瀏覽器的時候,每一個動作都是需要有相對應的程式程序來處理和回應操作瀏覽器時所命令的動作,除了我們操作瀏覽器時所作的操作動作之外,瀏覽器在處理從網路上下載回來的內容資料,也必須要有相對應的執行程序或應用程式來處理從網路上下載回來的資料,例如:視訊短片、Flash動畫、音樂……等等,這時候就需要嵌入媒體播放軟體元件,讓我們能從瀏覽器中看到這些畫面、聽到這些音樂。當這些處理事件或文件的程式有瑕疵或漏洞時,駭客就會使用一些技巧或一些已經寫好的元件,觸發程式設計師當初在設計軟體時沒設想到的狀況,取得特殊的資料存取權限或作業系統的操作權限。當駭客取得這些權限時,就有機會任意存取電腦上的資料,或進一步地在電腦上安裝惡意的木馬…當駭客做了這些動作後,他就等於掌控了這臺電腦。
除了上面這些途徑之外,駭客也常利用技巧,跳過瀏覽器的安全驗證讓使用者以為瀏覽的網頁使安全可以信任的,進而減低使用者的警覺性,在駭客所建立的假網站,騙取我們的資料。其他來路不明的外掛程式(Plug-in)也有可能成為駭客的工具。

防護的基本做法
駭客能透過瀏覽器進行的動作實在是五花八門,但這些不外乎都是從瀏覽器本身的漏洞,趁使用者下載網頁時侵入。如果使用瀏覽器時能避免連結一些含有惡意內容的網站,就能夠有效防止駭客透過瀏覽器竊取資料的機會。
一般的防火牆只能根據來源、目的地阻擋網路的連線,而功能較為進階的網頁應用程式防火牆或是網頁過濾閘道,與一般防火牆不同,這種防護設備會將網頁的內容加以掃描和偵測,將有問題的資訊阻擋在瀏覽器之外,避免瀏覽器開啟不明的程序或文件造成個人隱私上的損失。
良好的使用習慣也是能夠減少被駭客下手的機會。最安全的作法是在使用瀏覽器瀏覽網頁的時候隨時提高警覺,尤其在透過瀏覽器在網路上進行交易行為時,更應該要注意付費網站的憑證是否正確,多留意一分,就能夠減少自己的隱私資料遭竊的可能。


0
john651216
iT邦研究生 1 級 ‧ 2008-03-30 11:50:42

目前瀏覽器已經成為e-mail之後,可能造成資訊安全的原兇,每位IT人員要注意公司的其他使用者是否也注意到有這樣的安全疑慮

0
5min
iT邦好手 10 級 ‧ 2008-04-20 17:01:21

謝謝分享

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-26 15:28:34

謝謝分享

0
skite
iT邦大師 5 級 ‧ 2008-04-26 15:31:31

我一直覺得IE的自動完成是個爛功能,很多個資都是因為用了自動完成才洩漏的

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-26 16:37:21

感謝提供分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-26 16:51:41

感謝分享這個資訊

0
plutosrita
iT邦研究生 1 級 ‧ 2008-05-04 10:44:18

謝謝分享

0
jease
iT邦研究生 1 級 ‧ 2008-05-22 10:23:46

IE不安全,卻又最多人使用...沒正微軟沒有競爭者,就擺爛不加強ie的安全性!

0
魯大
iT邦高手 1 級 ‧ 2008-05-22 10:36:14

IE的安全性跟網頁開啟的速度一直是成反比的
安全性高,開啟的速度就會變慢
就看個人是要安全性,還是要快...

我要留言

立即登入留言