前言

編輯紀錄：
此篇文章，原名[補充： Docker 架設 Flask Web Server]，講述了「為什麼Docker可以用來解決門禁系統的 Flask 容器沒有設定密碼或驗證機制的問題」，筆者覺得表達的內容不夠完整，而修改內容。但由於只是補充內容，且與資安比較相關，因此就不另發一篇文，而是編修原本的文章。

潛在安全風險

門禁系統的 Flask 容器，若沒有設定密碼或驗證機制，容易被他人用Docker破解

在Day 27：Flask 與 Docker 的密室大逃殺中，我們提到了「用 Docker 架設 Flask Web Server」。
「用 Docker 架設」 有很多優勢，例如：相容性並且可維護、簡單快速、快速部署、持續部署和測試、資源多種雲端平台……等。

關於Docker五大優勢，可以參考恆逸教育訓練中心(2023)寫的這篇文章

然而，用 Docker 架設的 Flask Web Server，還是存在的一些安全性問題，可能會面臨一些安全風險。

瞄準存在資安漏洞的容器

其中一種攻擊手段是：瞄準存在資安漏洞的容器，也是在Day 27：Flask 與 Docker 的密室大逃殺中存在的漏洞。Flask容器若沒有設定密碼或驗證機制，也可能會面臨一些安全風險。即使該容器並未開放網路存取權限，駭客仍可以透過容器網路與管理介面連線（ docker 指令或其他工具來訪問容器；直接攻擊存在漏洞的容器，如：SQL注入、XSS漏洞），藉此取得完整系統權限。
解決方法為：容器網路得要設定加密。可以使用Docker的多種不同的網路模式，來配置容器之間的連接和隔離。
（wudaijun(2017)：docker 網路）

關於「Flask cookie與金鑰的安全性」可以參考興趣使然的小胃（2019）翻譯的這篇文章，原文為Luke Paris（2019）寫的這篇文章。

映像檔儲存庫上可能有惡意映像檔

Docker部署流程本身就擁有許多潛在弱點，讓不法人士有機可趁發動攻擊。映像檔儲存庫上可能有惡意映像檔，陳曉莉（2022）報導的「資安業者在Docker Hub中找到逾1,600個惡意映像檔」。常見的攻擊手法其中之一就是：利用映像檔作為媒介，如果不小心讓這些映像檔發布到容器主機上執行，攻擊者就可以對容器主機或儲存庫伺服器發動攻擊。
解決方法為：可用Docker本身推出的內容認證機制，確保映像檔安全。

關於「Docker容器常見攻擊手法與防護對策」，可以參考王立恒(2017)寫的這篇文章。