Aggregator

在網路上傳輸敏感資訊時，通常會使用 HTTPS 協定，讓客戶端與伺服器端對資料進行 SSL 加密處理，以降低資料在傳輸過程中被監聽或中間人攻擊的風險。HTTPS 的重要性逐漸被重視，Google 除了預設開啟 HTTPS 之外，未來更會將 HTTPS 的網站搜尋排名加分。但為了確保傳輸的安全，過程中客戶端會核對伺服器的憑證鏈 (certificate chain) 是否有效，若判定為無效時會作出警告。(詳見Wikipedia)

而在手機應用程式上 HTTPS 同樣重要，例如網路銀行、線上購物等。系統同樣會做憑證核對，但對被判定為無效的憑證就需要開發者作出額外的處理了。許多手機應用程式開發商在這個部分並沒有妥善處理好，以下我們就幾個常見的成因做基本的探討。

在探討該如何處理這個問題之前，這裡先列出一些有可能被系統判定成無效憑證的成因。

在 Android 2.2 及之前的版本，對 SSL 的支援上存在著一些問題，像是 SNI 和 Multiple Chain。而 Android 上不接受缺少中繼 CA 憑證的憑證鏈，例如：https://egov.uscis.gov/

以 GCA 簽發的 SSL 憑證為例，在 Windows 上被判定為有效，但在 iOS 系統上卻因為 CA 不在系統的預載清單中而被判定為無效。

這種情況常出現在應用程式開發階段的內部測試環境中，由於是內部測試環境一般都不會花錢去申請憑證。

當連線被 MITM 攻擊時，使用者原本的連線目的地會被導到攻擊者的設備上，此時伺服器憑證也會被取代成攻擊者自行簽發的憑證，造成原本正常的連線出現異常。

理想情況下，客戶端的支援度充足，伺服器憑證鏈的來源及設定正確，只需使用系統原有的方式去檢查憑證即可達到安全效果。但若非得要相容低版本系統或是自行簽發憑證的時候，就得自行做額外的檢查。

在處理方式上，普遍是使用憑證綁定 (certificate pinning) 的方式，把需要比對的憑證預先存放在應用程式裡，待要進行 SSL Handshake 的時候再與伺服器的憑證做比對。

可是在實務上，大多開發人員採用消極的方法，把錯誤警告略過讓連線繼續進行，使得本來使用 SSL 加密連線帶來的安全性形同虛設。據 2012 年 Why Eve and Mallory Love Android: An Analysis of SSL (In)Security on Android 這篇論文指出，在 Google Play 上 13500 個免費熱門應用程式當中，共有 1074 個 (8%) 應用程式因錯誤的 SSL 處理而導致使用者陷入 MITM 攻擊的風險中。

下面我們整理了一些在手機應用開發上，常見的 SSL 處理錯誤，以及其對應適當的處理方法。

當透過 WebView 元件訪問 HTTPS 網站發生 SSL 錯誤時，會觸發 onReceivedSslError 這個函數。根據官方文件指出，可藉由執行 handler.proceed() 或是 handler.cancel() 來決定是否讓連線繼續進行。在不覆寫這函數的情況下預設會執行 handler.cancel()。而上面的做法卻讓異常的連線繼續進行了。

較為恰當的做法是使用 handler.cancel() 讓連線終止，或是限制在開發階段才執行 handler.proceed()。像 Apache Coradova 和 Facebook Android SDK 皆有對這部分做控管。

本用來檢查伺服器憑證的 checkServerTrusted 被留空，導致警告被略過。Google 建議不要自行實作 TrustManager，而是把憑證放到 KeyStore，再把 KeyStore 放到 TrustManagerFactory，最後從 TrustManagerFactory 產出相關的 TrustManager，開發文件中有提供處理的範例。OWASP 的 WIKI 上也有提供自行實作 TrustManager 做 certificate pinning 的範例。2

下面節錄 Android 官方文件上的範例：

或是

上述寫法略過了憑證中的 hostname 檢查，導致即使連線端與憑證中指定的 hostname 不一致也能通過。較為恰當的做法是不特別設定，讓他使用預設的 DefaultHostnameVerifier，或是採用更為嚴謹的 StrictHostnameVerifier。

此情況使用到 Framework 中的 Private API，雖然這種寫法會因為不能通過 Apple 的審查而不會出現在 AppStore 上(使用回避技巧不在這討論範圍內)，但仍有機會在無需經過 Apple 審查的 Enterprise App 中使用。較為適當的做法是用 “#if DEBUG”，”#endif” 包起來以確保該段程式在編譯時只能對開發中的 debug 版上有作用。

上面的做法會讓使用 NSURLConnection 的連線略過憑證檢查，容許任意憑證通過。下面節錄 OWASP WIKI 上的範例：

處理方式與前面的 Android 情況2類同，做了 certificate pinning。

與前面 NSURLConnection 的情況類同，只是這裡使用到的是 iOS7 新增的 NSURLSession 元件。對應的處理方式如下：

在對 WebView 做處理上，除了對 SSL 錯誤直接略過外，目前無論是在 Android 還是 iOS 上，SDK API 都尚未直接提供方法讓開發者能在 SSL Handshake 的途中作 Server Certificate Pinning。其中一個替代方法是，利用其他能夠作 Pinning 的元件將資料下載回來，接著把資料傳到 WebView 進行讀取，避開原本用 WebView 直接設定連線網址。蘋果公司有提供這種處理的範例。

本來為了提高安全性而使用的 SSL 加密連線，卻由於程式處理不當讓原來的保護形同虛設。觀念不足與為節省時間而沒做好處理相信是主要原因。網路上大量的文章在引指開發者略過錯誤警告的時候，卻沒有提醒他們這樣做帶來的影響，也助長了不當處理的發生。

除了 SSL 處理問題外，手機應用程式開發還有許多要注意的安全問題，像是 OWASP 列出的 Top 10 Mobile Risks、由日本智慧型手機安全協會發佈 Android Application Secure Design/Secure Coding Guidebook 裡面所建議的。開發商有責任做好安全把關以保障雙方權益。

• Rethinking SSL Development in an Appified World
• Unifying Key Store Access in ICS | Android Developers Blog
• The CommonsBlog — SSL on Android: The Basics
• Security with HTTPS and SSL | Android Developers
• Networking Programming Topics: Overriding TLS Chain Validation Correctly
• Technical Note TN2232: HTTPS Server Trust Evaluation
• Certificate and Public Key Pinning - OWASP

1. Google 基於效能及有效性的考量，在 Android 系統上預設停用憑證撤銷檢查
    ↩

2. OWASP 的 Android 範例中，內含的 PUB_KEY 是錯誤的 (最後更改日期 2014/08/14) ↩

On Tuesday afternoon, The New York Times revealed that a group of Russian hackers now holds 1.2 billion username and...

The post Russian Hackers Steal 1.2 Billion Passwords appeared first on McAfee Blog.

Recently, the McAfee Advanced Exploit Detection System (AEDS) has delivered some interesting RTF files to our table. These RTFs have...

The post Dropping Files Into Temp Folder Raises Security Concerns appeared first on McAfee Blog.

Review of the agencies in the core New Zealand Intelligence Community (NZIC), Unclassified Summary, July 2014.

過去談到網站安全，通常會使用防火牆或 IDS 進行防護。但近年來網站安全議題都是以網頁應用程式的漏洞居多，無法單靠防火牆阻擋。以 OWASP Top 10 2013 的第一名 Injection 而言，多半是程式撰寫方法不嚴謹所造成，因此才有了網頁應用程式防火牆 (Web Application Firewall, WAF) 的出現。

有了 WAF 就是萬靈丹了嗎？就算有各種資安設備，但缺乏安全的設定，有的時候反而會讓系統陷入安全風險中。我們就以 Reverse Proxy 或 WAF 設備來探討不佳設定帶來的安全風險。

以常見的 mod_proxy 搭配 mod_security 的方案來看，通常使用 Reverse Proxy 或 Transparent Proxy 為其架構，透過 Proxy 的方式在 Client 與 Web Server 之間，對 HTTP Request / Response 進行過濾；以 HTTP Request 為例，當 WAF 偵測到 Client 端的請求中有 SQL Injection 語法時候，將會阻斷這個連線防止駭客攻擊。

在這種架構下的 WAF 看似對後端的伺服器多了一份保障，但也並非完美。其問題是後端的 Web Server 在透過 WAF 存取的情況下，無法得知來自 Client 端的來源 IP，相反的 Web Server 能看到的 IP 都將是 WAF 的 IP (REMOTE ADDR)，在這種情況下可能造成 Client 端可以存取受 IP 來源限制的系統。延伸閱讀：如何正確的取得使用者 IP？。

以下圖為例，網站本身只允許 192.168.x.x 的網段連線，如果今天 Client IP 是 1.1.1.1，將無法存取該網站。

但在有建置 WAF 的架構之下，Client 透過 WAF 存取網站，網站得到的 IP 會是 WAF 的 IP：192.168.1.10，因此允許連線，Client 因而取得原本需在內網才能存取的資料。

我們以常見的 Web Server 整合包 XAMPP 為例，在預設的 http-xampp.conf 設定檔中限制了一些管理頁面只能由 Private IP 存取，如 /security 、 /webalizer 、 /phpmyadmin 、 /server-status 、 /server-info 等，此時 WAF 的 IP 若為 Private IP，依 XAMPP 預設設定，WAF 將可以存取這些受 IP 限制的資源，當 WAF 存取完資源後又將內容回傳給 Client 端。

http-xampp.conf 預設設定

如果照著預設的設定，以現成的案例來看，能夠存取 Apache Server 的系統狀態，其中可以看到網站所有連線以及 URI 等資料。

並且可以直接讀取 phpMyAdmin 介面，並且至資料庫中新增、修改、刪除資料，甚至直接上傳 webshell 進入主機。

XAMPP 也內建了網站記錄分析工具 webalizer，透過這個介面可以知道網站所有進入點的流量、統計數據等。

如果建置了 WAF，有關 IP 的設定必須要從 WAF 支援的 HTTP Header 中取出使用者的 IP (REMOTE_ADDR)，才能讓原本網站的 IP 限制生效。在這種設定錯誤或是對 WAF 架構不瞭解的情況下，WAF 反而成為駭客繞過 Private IP 限制的跳板，就如同為駭客開了一個後門。因此在使用資安設備時，必須瞭解其架構。別讓資安設備、安全機制，反而使得伺服器更不安全。

Not all hacking requires code-cracking programmers who can slip through complex algorithms. No, sometimes all you need to do to...

The post The Surprisingly Simple Google Maps Attack That Shut Down a Business appeared first on McAfee Blog.

今天又有不怕死的人寄來釣魚信了，這次是騙取 Apple ID。讓我們來看看這封信，其中內容有非常多破綻，也已經被 Gmail 直接定為 Spam 了，非常可憐。除了信件之外，釣魚的網頁本身也很值得我們借鏡，讓我們來看看這次的釣魚郵件案例。

先來談談要如何判別釣魚信呢。我們可以從四個要素來看：

1. 標題
2. 寄件者
3. 內文
4. 連結

首先，這封信的標題非常假，一般來說公司不會使用這類標題，這種判斷比較需要經驗。釣魚信件會使用非常聳動、吸引你去做動作的標題。例如常見的「你的帳號遭到停用」、「更換帳號資訊通知」等。點下連結就會帶你去假造的頁面騙你輸入密碼，千萬別傻傻當真。

寄件者通常是釣魚信一定會加強假造的部分，利用官方存在的信箱或是他人的信箱寄信，加強你的信任。不過需要特別注意的是：

寄件者的欄位是可以假造、隨意填寫的，千萬不要直接信任。

以這封信為例，寄件者「[email protected]」是不存在的。當然這個欄位可以假造，但連假造都錯，實在是非常不用心。

信件的內文就是精華了，要怎麼做出一封很像官方的信件，又要誘使人去點選，實在是一門藝術。精心設計的釣魚信、社交工程、APT 郵件，通常都會針對受害者客製化，調查身邊的社交圈、常談的話題、常用的服務、會點擊的郵件，來製造一個一定會中獎的信件。

當然很多時候攻擊者調查不足，還是會出現蛛絲馬跡的。例如來自中國的惡意郵件，常會出現「尊敬的用戶您好」這種在台灣人眼中看了很彆扭的詞彙。如果出現了不常見的用詞，就非常有可能是一個假造的惡意郵件，千萬不要傻傻的點選連結或附件。

再回頭來以這封信為例，最大的破綻除了非制式的內文之外，就屬署名了。明明是假造「Apple Customer Support」的來信，最下面卻簽署「Microsoft Privacy and cookies Developers」，有沒有搞錯？可以再用點心嗎？

最後的重點就是信件中的釣魚連結了，通常這個連結會帶你前往一個長得跟官方網站一模一樣的登入頁面，騙你輸入帳號密碼登入來竊取。在點選超連結之前，一定要先看一下這個連結前往的位置是不是官方的位置，例如是 Apple 的信件通常就會是前往 Apple.com 自己的網域名稱。當然更要特別注意的是假造的網域名稱，例如使用「App1e.com」來偽裝成「Apple.com」，也是非常常見的。

這封信中使用了最不用心的用法，就是直接拿釣魚網站的 URL 來當連結，一來長得跟官方網域根本不像，二來落落長的連結，到底是想要騙誰點選呢？

收到惡意郵件、釣魚郵件，一定要好好看信件的標頭檔（Header）。裡面通常可以看到攻擊者發信的來源，例如是自己架設的發信伺服器或者是使用肉雞來發信。

信件標頭最重要的就是「Received」這個部分，要由下往上閱讀。從這邊我們可以看到信件的流向，從攻擊發起者到發信伺服器，中間經過其他伺服器的轉送，最後到收到釣魚信件的郵件伺服器。因此從最下面的 Received 位置，我們可以知道攻擊者是從「[email protected]」來寄送信件的，因此 cloud.httpdns.co 很有可能就是攻擊者的伺服器，或者是被駭來發信的伺服器。

如果覺得信件的標頭太長難以閱讀，可以利用 Google 提供的工具「Google Apps Toolbox - Messageheader」。只要把信件的標頭貼上，他就會自動分析信件的流向，如下圖。

接著我們來看一下釣魚頁面。通常「正常」的釣魚頁面都會做得跟官方一模一樣，因為通常攻擊者都會直接把官方網站上面的 HTML 直接下載下來修改。如果有做得不像的，就真的是太不用心的攻擊者。

我們可以看到這個釣魚頁面做得非常像，上面要你輸入帳號、密碼、姓名、生日、信用卡號等資訊，非常惡劣。唯有網址實在是太假，希望沒有人眼拙真的以為這是 Apple 的網站。

秉持的資安研究員的好習慣，我們把網址子目錄去掉，看看網站的根目錄長什麼樣子，結果讓人跌破眼鏡。

釣魚網站也請你注重安全啊！這個網站大剌剌的開著目錄索引，讓我們可以看到網站上的各個目錄、檔案。除了 Apple 的釣魚網頁之外，甚至有釣魚網頁的原始碼「connect-info.zip」，更有著其他釣魚網頁在同個站上。

既然可以瀏覽，那我們來看看釣魚網頁的原始碼寫得怎樣。抓下來解開之後會看到完整的釣魚網頁，以及接收受騙人資料的主程式「Snd.php」。

釣魚網頁的程式寫得非常簡單，僅把網頁上接收到的被害人資料、IP，寄送到他的信箱「 [email protected] 」，寄送完畢後會自動導向到官方的頁面偽裝。

如果釣魚網頁寫得不好，甚至我們有機會可以攻擊他釣魚網頁上的漏洞，直接取得主機的權限，解救世人。從原始碼我們一目了然釣魚網頁的行為、寫法，也可以尋找有無攻擊的機會。

釣魚攻擊最早從 1995 年就開始盛行，一直到快 20 年後的今天，都還是一個非常簡單又有效率的攻擊手法。收到郵件千萬別傻傻的輸入自己的個資、帳號密碼，仔細看一下攻擊者的破綻，別讓他得逞了。

如果有發現疑似釣魚網站，又無法確認，可以到 PhishTank 來查查看，找到釣魚網站也可以投稿一下幫助其他人！

很多網站都會有偵測使用者 IP 的功能，不管是判斷使用者來自哪邊，或者是記錄使用者的位置。但是你知道嗎？網路上大多數的教學全部都是「錯誤」的。正確的程式寫法可以確保知道訪客的 IP，但是錯誤的寫法卻可能讓網站管理者永遠不知道犯罪者的來源。

這次我們單就偵測 IP 的議題來探討各種錯誤的寫法。

我們先來看一下網路上的教學，讓我們 Google 找一下「PHP 取得 IP」，就可以看到許多人熱心的教學，我們隨意挑一個常見的教學來看看。

以 PHP 為例：

以 ASP.NET 為例：

這是一個很基本的寫法、很正確的想法，如果 HTTP Header 中包含「Client-IP」，就先以他當作真實 IP。若包含「X-Forwarded-For」，則取他當作真實 IP。若兩者都沒有，則取「REMOTE_ADDR」變數作為真實 IP。因為當使用者連線時透過代理伺服器時，REMOTE_ADDR 會顯示為代理伺服器 Proxy 的 IP。部分代理伺服器會將使用者的原始真實 IP 放在 Client-IP 或 X-Forwarded-For header 中傳遞，如果在變數中呼叫則可以取得真實 IP。

但是你知道嗎？網路上 80% 的教學寫法全部都是「錯誤」的。

為什麼這樣說呢？請大家記得一件事情：「任何從客戶端取得的資料都是不可信任的！」

「X-Forwarded-For」這個變數雖然「有機會」取得使用者的真實 IP，但是由於這個值是從客戶端傳送過來的，所以「有可能」被使用者竄改。

舉例來說，我寫了一個小程式，偵測這些常見的 HTTP Header 判斷 IP。並且使用 Burp Suite 這個工具來修改 HTTP Request。

頁面上顯示目前我目前的 IP「49.50.68.17」，並且其他的 header 是空的。但如果我今天使用 Burp Suite 之類的 Proxy 工具自行竄改封包，加上 X-Forwarded-For 或是 Client-IP header：

修改完畢之後，再到原本的顯示 IP 介面，會發現網頁錯將我竄改的 header 當作正確的資料填入。

使用代理伺服器的情況下，HTTP Header 會有不同的行為。例如 Elite Proxy 如何隱藏客戶端的真實 IP。以下簡單介紹幾種常見的狀況給各位參考。

• REMOTE_ADDR: 客戶端真實 IP
• HTTP_VIA: 無
• HTTP_X_FORWARDED_FOR: 無

• REMOTE_ADDR: 最後一個代理伺服器 IP
• HTTP_VIA: 代理伺服器 IP
• HTTP_X_FORWARDED_FOR: 客戶端真實 IP，後以逗點串接多個經過的代理伺服器 IP

• REMOTE_ADDR: 最後一個代理伺服器 IP
• HTTP_VIA: 代理伺服器 IP
• HTTP_X_FORWARDED_FOR: 代理伺服器 IP，後以逗點串接多個經過的代理伺服器 IP

• REMOTE_ADDR: 代理伺服器 IP
• HTTP_VIA: 無
• HTTP_X_FORWARDED_FOR: 無 (或以逗點串接多個經過的代理伺服器 IP)

在我們測試的過程中，通常我們都會讓瀏覽器自帶 X-Forwarded-For，並且自行填入 IP。常常會發現有一些網站出現如下的警告…

有沒有搞錯？「上次登入位置 127.0.0.1」？沒錯，這個是知名論壇套件「Discuz!」的功能，抓取 IP 的功能也是不安全的寫法。也有這樣的經驗，之前開著 X-Forwarded-For 的 header 到一些網站，竟然直接出現管理者後台！

你覺得只有一般人撰寫的程式會有這樣的問題嗎？其實大型網站也可能會有類似的問題。這樣的寫法可能會讓管理者永遠抓不到犯罪者的真實 IP，甚至攻擊者可以竄改 header 插入特殊字元，對網站進行 SQL Injection 或者 Cross-Site Scripting 攻擊。

「任何從客戶端取得的資料都是不可信任的！」

請各位開發者、管理者記住這個大原則，雖然這些 Request Header 可能含有真實 IP 的資訊，但是因為他的安全性不高，因此我們絕對不能完全信賴這個數值。

那我們該怎麼處理呢？我的建議是記錄所有相關的 header 欄位存入資料庫，包含「REMOTE_ADDR」「X-Forwarded-For」等等，真正有犯罪事件發生時，就可以調出所有完整的 IP 資訊進行人工判斷，找出真正的 IP。當然從 header 存入的數值也可能會遭到攻擊者竄改插入特殊字元嘗試 SQL Injection，因此存入值必須先經過過濾，或者使用 Prepared Statement 進行存放。

可以參考的 HTTP Header（依照可能存放真實 IP 的順序）

• HTTP_CLIENT_IP
• HTTP_X_FORWARDED_FOR
• HTTP_X_FORWARDED
• HTTP_X_CLUSTER_CLIENT_IP
• HTTP_FORWARDED_FOR
• HTTP_FORWARDED
• REMOTE_ADDR (真實 IP 或是 Proxy IP)
• HTTP_VIA (參考經過的 Proxy)

「駭客思維」就是找出網站任何可能竄改的弱點，從網頁上的元素到 HTTP Header 都是嘗試的對象。因此身為防禦者一定要清楚的知道哪些數值是不能信賴的，不要再參考網路上錯誤的教學了！

還記得在上一篇文章 Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題中我們曾提到，若對全世界的網站進行 zone transfer 檢測恐怕會有更多驚人的案例嗎？正好 Alexa 提供了全球排名前一百萬名的網站資料，我們就以這份資料為基礎來做一些統計吧！

• 79133，約佔所有受測目標的 8.014%
• 上述 domain 的所有 zone file 共含有 22631804 筆 DNS 記錄

由於在 Alexa Top 1M 中有許多資料是重複的 domain，另外也有些資料是 IP，在本次的檢測當中都不列入計算，因此受測 domain 總數僅有 987447 個，而非一百萬個。另外，本次掃描為求快速犧牲了部分準確率，因此實際數量應比 79133 更多。

• 全世界 TLD 總數：567
• 受測目標的 TLD 總數：316，佔全世界總數的 55.73%
• 有 zone transfer 問題的 TLD 總數：220，佔受測目標的 69.62%

目前 TLD 總數的數據取自於 Internet Assigned Numbers Authority (IANA)，不了解 TLD 是什麼的人可以參考這篇維基百科文章。

有趣的是，連一些新的 TLD 都有 zone transfer 問題，例如 .technology、.museum 等等，可見這真的很容易被大家忽略～

• Transferable domain in this TLD：在特定 TLD 中，有多少 domain 可任意執行 zone transfer
• Same TLD in Alexa top 1M：特定 TLD 在本次 987447 個受測目標中所佔的數量
• Percentage of same TLD in Alexa top 1M：特定 TLD 在 Alexa top 1M 內所有同樣 TLD 所佔的百分比（例：.com 即為 35230 / 527203 = 6.68%）
• Percentage of all transferable domain：某特定 TLD 可任意執行 zone transfer 的數量在本次所有可任意執行 zone transfer 所占的百分比（例：.com 即為 35230 / 79133 = 44.52%）

由於原始數據太多，因此本文僅列出前 25 名。

.tw 網域排第二十一名，幸好這次不是世界第一了，否則又是另類的台灣之光。

• Number of domain：該台 name server 有多少 domain 可任意執行 zone transfer

由於原始數據太多，因此本文僅列出前 25 名。

可執行 zone transfer 且不重複的 namer server 共有 53830 個

• 有 7939172 個不重複的 IP 位址
• 在全部 IP 位址中，有 704638 個是私有 IP 位址
• 在私有 IP 位址中，有 598443 個是 10. 開頭，佔所有 IP 位址的 7.538%，佔私有 IP 位址的 84.929%
• 在私有 IP 位址中，有 66270 個是 172.16~31 開頭，佔所有 IP 位址的 0.835%，佔私有 IP 位址的 9.405%
• 在私有 IP 位址中，有 39925 個是 192.168 開頭，佔所有 IP 位址的 0.503%，佔私有 IP 位址的 5.666%

以下選出一些常被入侵者當作攻擊目標的 subdomain 來計算在 22631804 筆 DNS 記錄中分別各佔了幾筆，每個 subdomain 共有兩個統計結果，逗號左邊的統計結果代表以該 subdomain 開頭的 DNS 記錄，例如 git.devco.re。逗號右邊的統計結果則將前後有數字的 subdomain 也一併計入，例如 dns01.devco.re、01dns.devco.re、0dns001.devco.re 等等。

• 版本控制

  git: 583, 626

  gitlab: 138, 138

  svn: 1552, 1669

  subversion: 71, 72

  cvs: 284, 330

  hg: 115, 331

  mercurial: 18, 19

• 開發與測試

  test: 14691, 20001

  dev: 8300, 10959

  stage: 1329, 1628

• 資料庫

  db: 1190, 2537

  database: 150, 302

  sql: 2209, 3298

  mysql: 4045, 4998

  postgre: 11, 11

  redis: 21, 33

  mongodb: 6, 42

  memcache: 13, 72

  phpmyadmin: 455, 485

• 後台管理

  manager: 188, 222

  staff: 481, 542

  member: 331, 376

  backend: 153, 177

• 線上服務相關

  api: 1871, 2097

  search: 1469, 10987

  pic: 178, 293

  img: 1775, 3517

  service: 779, 959

  payment: 225, 238

  cache: 373, 627

• 私有服務

  erp: 275, 318

  eip: 69, 80

  log: 227, 414

  nagios: 636, 736

  mrtg: 458, 565

  cgi: 194, 261

  dns: 2634, 9085

  ns: 12198, 63431

  ftp: 197414, 199481

  blog: 5074, 5446

  mail: 238742, 254515

  email: 2484, 2706

  webmail: 24164, 25067

  owa: 798, 888

  autodiscover: 30462, 30466

  vpn: 3152, 7025

  sso: 398, 462

  ssl: 709, 932

  proxy: 1464, 2215

  cms: 1320, 1696

  crm: 1152, 1301

  forum: 3654, 4037

究竟經由 zone transfer 所得到的資料可以拿來做什麼？對於攻擊者而言，主要有以下三種利用方式：

• 建立字典檔：入侵者可利用上述資料建立一份最常見的 subdomain 的字典檔，未來利用此字典檔進行掃描時可節省許多時間成本，快速檢測某間公司有哪些 subdomain
• 旁敲側擊：入侵者可觀察哪些 name server 有開放 zone transfer 查詢，接著去蒐集還有哪些公司使用同一台 name server，再進一步掃瞄那些 domain。那些 domain 也許不是大公司、不在 Alexa top 1M 內，但你無法確保它永遠不會是入侵者的攻擊目標。
• 結合 0day 進行攻擊：當某個第三方套件被揭露 0day 弱點時，擁有上述資料的人就可以迅速執行大範圍的攻擊。例如這幾年正夯的 Rails 在去年被爆出有 Remote Code Exection 弱點 CVE-2013-0156，入侵者可直接對所有 redmine 進行攻擊。Juniper VPN 在今年也被揭露 Remote Code Execution 弱點，入侵者可找尋所有 vpn subdomain 來進行嘗試。

在上次我們提起這個古老的弱點後，已經有部分台灣企業陸續將此問題修復，但許多台灣企業仍有此問題而不自知，也許過陣子我們直接做個 Wall of Shame 條列出哪些廠商有問題會讓大家比較有感 :p

不過也別急著笑台灣企業，許多國際級的大網站同樣也有此類問題。由此可見資安問題不分新舊、不分國內外，總是容易被大家忽略，等到不知不覺被入侵者捅了重重的一刀後，才驚覺這許多的小弱點一旦串起來是多麼的可怕。你，開始有所警覺了嗎？