近兩年個資外洩的新聞頻傳，最主要的問題源自於Web應用程式的漏洞，然而開發人員在技能養成的過程中，資訊安全相關的觀念傳授少之又少。這已成為現今企業面臨的難題，也就因為如此，靜態程式碼安全性檢測工具應運而生

根據美國電腦網路危機處理暨協調中心（Computer Emergency Response Team/Coordination Center，CERT/CC）安全漏洞統計報告，軟體的安全漏洞是逐年增加的，而且成長幅度驚人。軟體的安全漏洞引發的問題可從新聞事件中看出端倪：

● 2008年，刑事局破獲兩岸駭客聯手入侵政府機關盜取個人資料牟利的案子，資料庫多達5,000多萬筆。

● 2008年11月，台彩官網遭駭客植入惡意網頁與程式，台彩公司表示10月底就發現駭客入侵，已經清了20多次，但網友依然發現網頁含毒，因此質疑駭客可以在官網「加料」，是否代表能竄改開獎數字，甚至取得彩金得主資料。

● 2006年，臺灣最大部落格網站「無名小站」發生會員資料外洩事件。刑事警察局偵九隊三組查獲，由東海大學大三陳姓學生與洪姓高三生組成的駭客集團，以XSS（跨網站腳本攻擊）方式入侵無名小站。

以上是最近兩年發生較為重大新聞的事件整理，然而未爆彈不知凡幾。

再者，根據外電報導：有69%的資料外洩事件是由第三方所揭露。而且99%的資料外洩筆數是儲存在伺服器及應用程式等網路資產中，而非眾所關切的桌上型電腦、行動裝置或可攜式媒體。

事實上，國內處理最多類似事件的偵九隊也表示相近的看法──多數發生個資外洩的網站業者，自己也搞不清楚到底有沒有外洩資料。而且更重要的是，個資外洩事件大多源自於Web應用程式的漏洞。

看更多雜誌 »