• 會員中心
  • 訂閱管理
  • 常見問題
  • 登出
notice-title img

親愛的用戶 您好:

謝謝您一直以來的支持及勉勵,是我們最珍視的優質會員。

經濟日報網全新改版,推出「數位訂閱」服務,特別獻上專屬4折優惠。

期許更多具脈絡的深度內容,為您梳理碎片化的財經資訊。

下次再說

便民網站遭植入後門程式 資安月報籲限制上傳內容

本文共775字

中央社 記者賴于榛台北21日電

最新一期資通安全網路月報顯示,某機關便民服務網站因提供民眾上傳檔案,遭植入後門程式但即時發現;資安月報則提出網站應限制上傳檔案的類型等3項作法,避免類似案件再度發生。

最新一期資通安全網路月報指出,8月政府機關資安聯防情資共5萬6051件,經分析可明確辨識的威脅種類,第1名為入侵攻擊類達47%,主要是已知中繼站網域連線及國外IP攻擊行為;其次為掃描刺探類占23%,主要為外部主機執行掃描探測攻擊;以及政策規則類有15%,主要為單一帳號持續登入失敗。

推薦

依上述情資分析,資安月報指出,近期駭客以請求政府機關業務辦理窗口協助為由,針對特定機關發動社交工程惡意電子郵件攻擊,用夾帶含有個資的壓縮檔附件,誘導使用者開啟後執行惡意程式,行政院國家資通安全會報技術服務中心為此已提供相關防護建議。

另外,8月資安事件通報數量共92件,今年以來只有5月突破120件,其餘單月皆在百件以下。

資安月報也提醒,近日各機關因應疫情採行遠端或居家辦公,應建構安全的網路資訊傳輸原則,如與機關網路通訊應予加密、不得使用公共場所的網路聯網辦公、禁止任意安裝未經機關核准的軟體、電子檔案原則不得由機關外部直接傳輸至內部等。

資安月報這次也刊載某機關便民服務網站,因提供民眾上傳檔案,遭植入後門程式的事件。

原來是某機關的便民服務網站提供民眾線上申訴,且可上傳檔案附件,但網站並未限制上傳附件檔案類型,導致駭客成功上傳網頁型後門程式。

資安月報指出,機關廠商在檔案上傳的第一時間即發現異常狀況,並通知機關處理,網站維護廠商也已將上傳程式漏洞修補完成,未使駭客有後續利用機會。

資安月報提醒,「檔案上傳」為常見網站功能,機關除應於網站主機安裝防毒軟體外,若因業務需求規劃網站檔案上傳功能時,應對上傳檔案類型加以限制,上傳的檔案也可透過重新命名或設定唯讀,避免外部直接存取或執行檔案。

※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容

上一篇
陳柏惟罷免案通過將補選 顏寬恒後續動向備受矚目
下一篇
危老複合建物 全面造冊

相關

熱門

看更多

看更多

留言

完成

成功收藏,前往會員中心查看!