iT邦幫忙

2023 iThome 鐵人賽

DAY 27
0
AI & Data

AIoT的藍藥丸與紅藥丸,你選哪個?系列 第 52

補充:用 Docker 架設 Flask Web Server的潛在安全風險

  • 分享至 

  • xImage
  •  

前言

編輯紀錄:
此篇文章,原名[補充: Docker 架設 Flask Web Server],講述了「為什麼Docker可以用來解決門禁系統的 Flask 容器沒有設定密碼或驗證機制的問題」,筆者覺得表達的內容不夠完整,而修改內容。但由於只是補充內容,且與資安比較相關,因此就不另發一篇文,而是編修原本的文章。

潛在安全風險

門禁系統的 Flask 容器,若沒有設定密碼或驗證機制,容易被他人用Docker破解

Day 27:Flask 與 Docker 的密室大逃殺中,我們提到了「用 Docker 架設 Flask Web Server」。
「用 Docker 架設」 有很多優勢,例如:相容性並且可維護、簡單快速、快速部署、持續部署和測試、資源多種雲端平台……等。

關於Docker五大優勢,可以參考恆逸教育訓練中心(2023)寫的這篇文章

然而,用 Docker 架設的 Flask Web Server,還是存在的一些安全性問題,可能會面臨一些安全風險。

瞄準存在資安漏洞的容器

其中一種攻擊手段是:瞄準存在資安漏洞的容器,也是在Day 27:Flask 與 Docker 的密室大逃殺中存在的漏洞。Flask容器若沒有設定密碼或驗證機制,也可能會面臨一些安全風險。即使該容器並未開放網路存取權限,駭客仍可以透過容器網路與管理介面連線( docker 指令或其他工具來訪問容器;直接攻擊存在漏洞的容器,如:SQL注入、XSS漏洞),藉此取得完整系統權限。
解決方法為:容器網路得要設定加密。可以使用Docker的多種不同的網路模式,來配置容器之間的連接和隔離。
(wudaijun(2017):docker 網路

關於「Flask cookie金鑰的安全性」可以參考興趣使然的小胃(2019)翻譯的這篇文章,原文為Luke Paris(2019)寫的這篇文章

映像檔儲存庫上可能有惡意映像檔

Docker部署流程本身就擁有許多潛在弱點,讓不法人士有機可趁發動攻擊。映像檔儲存庫上可能有惡意映像檔,陳曉莉(2022)報導的「資安業者在Docker Hub中找到逾1,600個惡意映像檔」。常見的攻擊手法其中之一就是:利用映像檔作為媒介,如果不小心讓這些映像檔發布到容器主機上執行,攻擊者就可以對容器主機或儲存庫伺服器發動攻擊。
解決方法為:可用Docker本身推出的內容認證機制,確保映像檔安全。

關於「Docker容器常見攻擊手法與防護對策」,可以參考王立恒(2017)寫的這篇文章


上一篇
補充:用 Python 的 pyusb模組 來控制 USB 的通訊協定
下一篇
Day 28:Flask計畫.IP 與 PORT 之門
系列文
AIoT的藍藥丸與紅藥丸,你選哪個?62
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言