2016.11.30 電商業者的資安困境

㑒ࠎᖱ⓱ỉⶳయऺ਴ Ꮦ˃੒ဧٰ΅Ϟࠢʮ̡ [email protected] ॽख͍"MMFO0XO 5J&"༟τࢭሔึ

ⳝ⓱≼ύ ␃ុᙏ "MMFO0XO ࿵ৢடᬕ%&7$03&घ⨭㉅ ٪᧫㓲ஆؓፎ)*5$0/ബׁ᱙˱ BMMFOPXO!EFWDPSF ொ㉅㡩㓲ஆሟᇌစ᝖ՁᎵơᣑ⼈ᡄ⮜

http://en.wikipedia.org/wiki/Liebig's_law_of_the_minimum

Ϯᖱ㒘ಇⶳయΦϨᡢℨ 事前預防事件發⽣生時事後處理理 ᣑ⼈ᡄ⮜ ሲ⒣⭧⌕ ྭⱽ⭟ᵍ ˱̳ᣬ⌕ ⳽୷⼐ृ ⋸๾ྭⱽ
˱̳⢦᱙ ቆͦ㈢ⱛ สػぜය

Ϯᖱⶳయᐎٷ⯋و๲ⴢ Ø යⱬ̹ᓹӔဪԺ㕴ⴗʲḑො㞾㡦ἃ⼶⳽୷ⓞො᳉ↀ ࢢܛϫ⾠Ձ㡦ӻど௏⮦⾠Ձ⼟⨭⪒෠Ƣ 需求訪談滲透
測試教育訓練整體規劃

Τ⯺዗ኄ⓱ỉἍỉɗ༰⎖㦎 Ⴞ▏Ά⿬ⱜӛσ㣉ၥಇᆹጮɘ

ߕ਷ཧਯਠ*5ӻ୕௘Κዚ  ৰə5BSHFUε࢕ཧਯਠɰቊݪ ௰ڐdԨʔස˟׵5BSHFUɓ࢕೯͛ࠠɽ༟̮ࣘރԫ΁f ࣬ኽ༩ீٟܸ̈dίື˚ᒅي֙ಂගdৰə5BSHFUၾ /FJNBO.BSDVTʘ̮ٙ஢εཧਯਠdɰቊՑᎡ܄ҸᏘf ɪ඄5BSHFUீᚣܸ̈dᎡ܄᛿՟ə΍ ຬഅٙᚥ܄ ֑Τeඉ΁ήѧeཥ༑໮ᇁeཥɿඉ΁ήѧၾ˕˹̔ ༟ࣘdШ̘ϋ˜ʕϚৎ΋జኬ፲̰ٙഅᅰމ ຬ
അf 7 IUUQOFXTOFUXPSLNBHB[JOFDPNUXDMBTTJGJDBUJPOTFDVSJUZ

iThome http://www.ithome.com.tw/news/100772

中央通訊社 http://www.cna.com.tw/news/afe/201605130398-1.aspx

內政部警政署 165 反詐騙 http://165.gov.tw

܉ⱃ㘵ᓪϨዾㄔ㦑 2016.01.01 ~ 2016.10.06 ญ३ᝎҠᐉϨⱃ㘵ᓪϨ

㣕⚔ᷔᖱ ϞცӋdఱϞԶഗiϞлूdఱϞପุf ලЍପุሖ͛ʊɮd͍ΪމϞცӋeϞлूdʑึϞᎡ܄ ණྠආБଡ଼ᔌ׌ٙҸᏘf

㣕⚔ᷔᖱỉᮑ؍ᘳ๿ Ø ϫ̍⳽ቛ Ø ㌱୏⾬̳ϕⅹ Ø ϕᴟؙ⢬ Ø ̂ኴ⳽ቛ Ø
ന⢬ஞᾋ Ø ⳽ቛൻ Ø ឪぞ Ø ሟᇌ⁰෇ Ø ໬⳽

㑃⿬㑒ࠎᖱ⓱ಙ⿅㣉⇝࡯㦖 እ᮸ⴸ዗ኄ⓱᫗Ⴔᛟ᫗࡯㦖

໙㑒ࠎᖱ⓱ỉ⯬ฯюᆲⰘⶳయ

㑒ࠎ⎛↫෤⯊ỉऺ਴㦑 ╹⨭㉐ḋ⋣⃳ୖࢢᣩដ ੒৖㉐ḋ⋣⃳ୖࢢᣩដ Ө⾠ܓ೸㌱┗⽈ӧβ৖ធϫ⳽ ⿸ٸඦݘϫ⳽৖ធ
ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ

㑒ࠎ⎛↫෤⯊ỉऺ਴㦑 Ø ╹⨭㉐ḋ⋣⃳ୖࢢᣩដ Ø ੒৖㉐ḋ⋣⃳ୖࢢᣩដ Ø Ө⾠ܓ೸㌱┗⽈ӧβ৖ធϫ⳽ Ø ⿸ٸඦݘϫ⳽৖ធ Ø
ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ☱⫤㍱ể⎛↫ఎक़ᦡᡂ ଊ઎㍱ể⎛↫ఎक़ᦡᡂ 網站伺服器

ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ֝ざ߉ධ㑒•⿾֜ѧ઎ᡊҠⶳ 個⼈人電腦

ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ギܮ๞ࠎҠⶳ઎ᡊ 配合廠商伺服器或電腦

ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ዗ኄ⓱ᷗම઎ᡊ෠⥣ౖ⁃Ể֜㑒ࠎ⎛↫ ⶤౌक़ⱃ㘵㐪ॏỉ⷇৽η፬ 買家資安意識

☱⫤㍱ể⎛↫ఎक़ᦡᡂ

☱⫤㍱ể⎛↫ఎक़ᦡᡂ Ý ⼠ዕṦպͅᔉ፜㍅⬜ӡ⭕ᜡḢݫ㐩㡯 Ø ☬⋣⃳፭⸽⳽୷㕴ⴗʵ਒㡦ըፎ⺀ኴ⩰ሟᇌ␹ӧβƢ Ø ⳽୷ݞ㐘ญญ⾱ዅ̹ᓹӨ⾠ፌ㌢⭄ḑݞ㐘㡦⼶㕸ʬ௦㗐㕸ʬ ʰ㡦☬ᜥፒ⋍⼱୹ቂḑᣑ⼈ᡄ⮜㡦ը㌢̩ဪԺݞ㐘ḑᐦᢋƢ Ø ဪ՚˯ݞ㐘˘ท㡦㉐ḋ̍ܓḑሲ⒣⭧⌕ơ⳽୷ᖤ՟ơ⳽୷⭶
ё㡦⾱ፎዅ̹ᓹჽʳΙ⬋㍷௏ḑ⯑㐘Ƣ

⯺ៈጫᓪ Ø ᣑ⼈ᡄ⮜㡩ဪԺᣩដ࿼ࢢ㡦ਗټаආᗏᏱ Ø ሲ⒣⭧⌕㡩⪒⵶⬵๝ḑ⎛১ Ø ⳽୷㐮ݞ㡩㉅።ሞހ̹ᓹ㕴ⴗ㡦ਗټஔൽ぀ᴚ

Ϯᖱ෤⯊య֞㕚㐖㦑ዾㄔ 7% 2% 2% 3% 3% 4% 6% 7% 9%
9% 49% 跨站腳本攻擊資料庫注入攻擊功能缺少權限控管指令注入攻擊資訊洩漏跨站冒名請求不安全的直接存取物件未驗證的轉址錯誤訊息洩漏商業邏輯漏洞洞其他

Ϯᖱ෤⯊య֞㕚㐖㦑Ҡⶳ἖㎬ 7% 2% 2% 3% 3% 4% 6% 7% 9%
9% 49% 跨站腳本攻擊資料庫注入攻擊功能缺少權限控管指令注入攻擊資訊洩漏跨站冒名請求不安全的直接存取物件未驗證的轉址錯誤訊息洩漏商業邏輯漏洞洞其他 ᚪΩ㖉⽈㡯

Ϯᖱ෤⯊య֞㕚㐖㦑ể᷒᲻ 跨站腳本攻擊資訊洩漏跨站冒名請求功能缺少權限控管資料庫注入攻擊錯誤訊息洩漏指令注入攻擊不安全的直接存取物件未驗證的轉址
商業邏輯漏洞洞發⽣生率 0% 25% 50% 75% 100% 32% 36% 36% 36% 41% 50% 59% 64% 73% 91%

Ϯᖱ෤⯊య֞㕚㐖㦑ධ֧ᬔ᠎ᚇ᣼ 跨站腳本攻擊資訊洩漏跨站冒名請求功能缺少權限控管資料庫注入攻擊錯誤訊息洩漏指令注入攻擊不安全的直接存取物件未驗證的轉址
商業邏輯漏洞洞發⽣生率 0% 25% 50% 75% 100% 32% 36% 36% 36% 41% 50% 59% 64% 73% 91%

Ϯᖱ෤⯊య֞㕚㐖㦑ධ֧ᦡ৺ 跨站腳本攻擊資訊洩漏跨站冒名請求功能缺少權限控管資料庫注入攻擊錯誤訊息洩漏指令注入攻擊不安全的直接存取物件未驗證的轉址
商業邏輯漏洞洞發⽣生率 0% 25% 50% 75% 100% 32% 36% 36% 36% 41% 50% 59% 64% 73% 91%

ଊ઎㍱ể⎛↫ఎक़ᦡᡂ Жუړࠎͪ⥝ᴑ

ଊ઎㍱ể⎛↫ఎक़ᦡᡂ Ý ੡৥㉡Ḝ⋴℄୥ࢯ᣺ល㡺ͭျתݥˁ⢸ᱪ Ø ʵ௓̹ᓹᜥፒ╹೿㉐ḋ⋣⃳㡦␽ዅḋם⊬৖⾠ඦݘ ㉐ḋơ⋞⼮Ƣါםݘḑ܃ⴗ⼐ബ㌢̩ყჾ㡦Җᐩ࿲ ḑᓹᴺᴚཌྷ㡦ፄⲂ㉐ḋḑ܃ⴗ㌢̩ᄛ؊Ƣ͡ᓹ␹ፌ 㐄য়ḑዅ㡩უړࠎᄡ⍘⥝ᴑᦡᡂɘ

ଊ઎㍱ể⎛↫ఎक़ᦡᡂ Ø ☬ᜥፒࢢʬ㉐੉ḑ੒৖ٸ≜௡ኯ⭛⳽୷⋞Ɱᕵᢏ㡦 ࢢነทḋᴚ⳽୷˱̳ዏը㌢̩⬋ᛩါםݘϙ⪒ᣩដ Ø ࡻᙐයⱬᓹ␹ࢢነทḑ੒৖㉐ḋᐲ㡦ኯ⭛⳽୷ᕵᢏơ 㕇ማዏᗏ㊯⇠ͦጫᦉ⾾᣼ⱒ৺ݥ㡦˂ʺ௉ነทⶳయ ⎖ⴤܮ⌔ᯧ⃯ትʬ▪⋞Ɱ≜˘৖㡦෠՟घ⨭Ƣ

⯺ៈጫᓪ Ø ⽒ݘᕵᢏ㡩ਗͮ႖⽒ʬϫ܃ⴗ◚਒ḑ੒৖ඦݘ Ø ㉐ᕵ⬕ᐩ㡩ࢢ⬕ᐩˆ՟⭛⳽୷⬕ↂ Ø 㕇ማᕵᢏ㡩㕇ማዏ⬋ᛩℨʱታ⳽୷ᗏᡄृگ Ø ⳽୷⋞Ɱٸ≜㡩ḋᴚ⳽୷˱̳㡦ྭⱽِϙสḑዏ㉘

᫗σ㣉ᐆᐊⶳయᦡᡂ㦖 Ø ㉐ḋ̍ܓ⎛˛⳽୷๸⋞ Ø ੒৖ඦݘ⎛˛⳽୷␷ぞ Ø ̹ᓹ⊓⍟ᜥፒ⳽୷⬕֒

֝ざ߉ධ㑒•⿾֜ѧ઎ᡊҠⶳ

֝ざ߉ධ㑒•⿾֜ѧ઎ᡊҠⶳ Ø ᵑ⋣⃳㌢̩⩰ӧβ㡦ሟᇌ␹௡ፎ⺨ญܓ೸㌱┗ʳစƢ ⼈⼱ῢ̂೸⁰ơᅢ⿸༃༦⾬̳℻"15ሟᇌ㡦ӧβϫ ̍㌱┗ทٕผ៖Ⳳ␹ϫ⳽㡦ᴖ╾Ц᨟ⶪᎩᣑ⼈̹ᓹ Ө⾠ᇪয়ሟᇌ࿜ᎿƢ☬ᜥፒ⵶৛ḑ⳽୷༦ⱛ㡦ܓ೸ ௉ፎዅ̹ᓹፌয়ḑ⳽୷⎛ٞƢ

⯺ៈጫᓪ Ø ෠ת⳽୷๸⋞㡩Ⲃነബ೸͵⾱˯⭄⳽୷㐹㋵ͮࢢ Ø ᘐ㊶ፌ௑תػը㡩٤⊬˰฿⬋ḑᘐ㊶㡦⁨㋃࿼ፒʵ ฿⬋ḑ㡦Ⲃᘐ㊶ፌ௑ת Ø "15㊣‭㡩.BJM(BUFXBZơ㊣ᚘ⹖㕴ơ"15 4PMVUJPO

ЮἮỉ፽"15ỉ܌౉⓱࡯㦖〔፽ܚ፽ዙᔳⶳయỉ⣶ܔ㦖

ギܮ๞ࠎҠⶳ઎ᡊ

ギܮ๞ࠎҠⶳ઎ᡊ Ø ㌱ݘ⋣⃳ፒٵ₇▎৖ᴺᖔჽḑፖׁ㡦Νਗだឪơᬳ ឪƢ☬ᅢ⿸ḑ৖⾠≕⊶⽈՚ӧβ㡦ϫ⳽ʬᕼፎ⩰ٕ ผƢ͡ᛆẐơ૊㕴٤ፎ⬰ผƫ࿝ࢢ⼏ஔ㌱ݘൕ٪ⳮ ᎛⬊⩰⮍㔔Ƭ㡦␽຃⎼՚̹ᓹ፭⸽ƢϮᖱᐊ⶛Ϫ⯁ ឡギܮỉ๞ࠎܲ͡ಁⶳయɗҠⶳხ㎬૊ɘ

⯺ៈጫᓪ Ø ⿸ٸඦݘḑ⳽୷⬕ↂ㡩⿸ٸඦݘ˥㌴⬋ፒṞ௏ྭḑ ⳽୷⬕ↂ㡦ṍ㞾˂ჾ՟㐹㋵Ƣ Ø ᣑ⼈ᡄ⮜㡩௉࿼ፒ̘ჽḑ≕⊶Ц୷өṍ㞾

዗ኄ⓱ᷗම઎ᡊ෠⥣ౖ⁃  Ể֜㑒ࠎ⎛↫

዗ኄ⓱ᷗ઎ᡊ෠⥣ౖ⁃Ể֜⎛↫ Ø ⳽୷ḑ⳥̵˂ʵѯࢢ̹ᓹ㡦ፒḑዏϸ៖Ⳳ␹፭⸽ന⢬ḑ୷ ө˥ፎข㏡՚㌱ݘ⋣⃳ḑᠳⱳƢṕխᛆẐ٤⬋ჽማ՚⮍㔔㌱⮥㡦ṛ⬰⾱ፎዅࢢᏡϫ൮ஔḑ̂ኴ⩰㓲㡦⩰ٕผ⳽ቛท Ⳣ݄⊬⮍㔔㌉࢙㡦ࡻ␽ࡹृ⊬℻ٓ⮍㔔ொ⌀Ƣ Ø ⿅ℿᓪђΚᐆ∤क़㑒ࠎ⎛↫ỉ෠ͧ㦎Ж۟ͪ͡఺፽㑒ࠎ⎛ ↫ỉࠔ㔹Ƣ⼏ᕼḑሟᇌစ᝖˥ϋ₊ƫᆯൻƬƢ

዗ኄ⓱ᷗ઎ᡊ෠⥣ౖ⁃Ể֜⎛↫ Ø ሟᇌ␹߲⮜՗ᴟᆯൻٕผ̹ᓹܓ೸ന⢬ஞᾋ㡦ᴖ╾ ⅳ᱙␹ᘐ㊶Ƣ☬ᜥፒṞ௏ྭḑᖤ՟ը஖ኴ⩰ٕผ≕ ⊶ჾ՟ᘐ㊶Ƣ

⯺ៈጫᓪ Ø ̹ᓹ㉘ḑ⑶㊣㡩̂ᄥฉᙐḑሟᇌ␹㞴ٽޢ㡦ᵑʳʬ ᝡሟᇌ㉐੉˘խӔ⨭㊧ᇍƢ Ø ᄛΩΒᴟ␹ന⢬ϑⱮ㡩⇄⭠㕇ⱍơ˲ᙑ㕌㕇ⱍơ*1 ϑⱮơ4FTTJPOϑⱮ℻Ƣ

ౖ⁃య֞۱؞ Ø ஞᾋ㉅൷ Ø ㉅൷ณぜ⬋㡦යⱬϫ୕̩ʲ㡦˂㍳٤ⓗϫ୕ӏ Ø ஞᾋ⪯㌜൷ Ø ቆ୕ơ☶ቒয়௑஺ơ₶Ḍơℤ⢬ Ø
ʵ٩▎ന⢬ぜ⪯ơʵ٩ᴟബᴟ୕ˊ Ø ஞᾋϑⱮ Ø ʵ٩৖ឪӱ̝Βᴟ␹ơʵผӯᴟ Ø ⽙Әኯቒѡ⼿ơʵ٩Ӭ㉐ෞⳳ

чᷗ἖ౖܲ⁃ಈ☷෠⥣⬦֜ѧ #ၣ१ ੗ᇁj!?? BH ੗ᇁjRB[XTY ੗ᇁjRB[XTY "ၣ१ ቊɝڧ $ၣ१ ɝڧ

∫ᴑౖ⁃ỉධ֧ Ø ᝥ༦⬋㞾㡩ፒᩜ.BTUFS1BTTXPSEơፒᩜټᙑ֤ⓗơ፭ ᖤஞᾋ⳽ቛൻዅڑፒ֥ஞ Ø ,FF1BTT㡩IUUQLFFQBTTJOGP Ø 1BTTXPSE㡩IUUQTBHJMFCJUTDPNPOFQBTTXPSE Ø -BTU1BTT㡩IUUQTMBTUQBTTDPN
Ø "QQMFJ$MPVE,FZDIBJO ֥ஞơፎ⋣ⶦټᙑ

ⶤౌक़ⱃ㘵㐪ॏỉ⷇৽η፬

ⶤౌक़ⱃ㘵㐪ॏỉ⷇৽η፬ Ø ٤⬋ፒ՗٩࢘㡦⮍㔔㌉࢙௡ፎᩜ࿼ʵᴟӱᔀḑ།ᯰ ٕ՗ḽƢᵑ≕⊶ഀ⋍⼷࿜छ፭ḑ୷өơΒᴟ␹৖ធ ḑന⢬˥ഀ⋍ᩜ᝖՗ᴟ˘ท㡦⮍㔔㌉࢙௉ӻሟᇌ̍ ຀ḑᣩដ㡦㍱Ⱜ⶘⷇᭯㍫ࠎ޹ỉ⷇৽㦎ݗ຃ᬔ⽹ỉ ܌౉⓱ⷜⶤƢ࿡␹ࢢⴑॆḑᵀ⭚؅॓ИӾⴑஔ㡦ᵀ ʳ╹೿ḑ-*/&▎៖Ⳳ␹ᢕ⼐㡦⼟⨭⮍㔔Ƣ

㑒ࠎᖱ⓱ⱜ૏У☱҆

㑒ࠎᖱ⓱ⱜ૏У☱҆ Ø ˯⭄㐹㋵ Ø ˯⭄ቃ̍ Ø ᙏᾉḑཌྷ൷㍷௏⳽୷

WHO WHY WHAT WHOM WHERE WHEN HOW HOW MUCH

ⶳయΦϨỉ8) Ø 8IP㡩ሟᇌ␹ዅ⯐㡮 Ø 8IZ㡩᨟̎㞨⬋ሟᇌ㡮 Ø 8IBU㡩ሟᇌ␹⬋ḑዅ̎㞨㡮 Ø 8IPN㡩᨟̎㞨ዅ࿝⩰ሟᇌ㡮 Ø
8IFSF㡩มܛ⪖㉐੉ሟᇌ㡮 Ø 8IFO㡩̎㞨ዏϸḋֽሟᇌ㡮 Ø )PX㡩๪㞨ሟᇌ㡮 Ø )PX.VDI㡩ሟ㊣㌴⬋৙௓⳽ᢋ㡮

8IP዗ኄ⓱፽Ⲇ㦖 Ø ༃༦㓲ஆ⊓⍟㡦˂▎⮍㔔㌉࢙ٸ͵ Ø ټᓹ℁ᬌ௏စ Ø ϫ㕴࿶ WHO

8IZ᫗σ㣉⯁዗ኄ႕㦖 Ø ᨟˯ㅓⳛ՗ḽ␽ሟᇌ Ø Ӭׁơ⁅̍ຮກ Ø ੶ⓝ Ø ᨟˯ፒ⵪ơᨒ␵ WHY

8IBU዗ኄ⓱⯁ỉ፽σ㣉㦖 Ø ٩̩Ⳣⴑḑ⳽ቛ Ø ϫ⳽ Ø だ⦎⳽ቛ Ø ന⢬ஞᾋ Ø
̹ᓹӨ⾠ᖤሪ⳽ቛ Ø ٩̩՗ᴟḑ⳽ᢋ Ø ͵᨟ⶪᎩ Ø ͵᨟ƫ⒈ᖤƬ Ø ͵᨟ᙽ௵⋣ⶦ WHAT

8IPN᫗σ㣉፽႕㦖 Ø ⹖ᐇ୏ Ø ਗ㡩ږፒኯ㐳ᣩដḑ⋣⃳㡦ᚚ⹱਒ʳစ Ø ᐥ෧⮜᫵ॆ Ø ਗ㡩ፌ⻝Ժ᱒ḑቭᣩដơቭሟᇌစ᝖ Ø
ṬⵍΙፒㅓ̍ Ø ਗ㡩ᇅፒয়ぞだㅓơਗ̂ኴൕ٪ơᚚᬿൈ WHOM

૏Уⴸ዗ኄ⓱ͪ〈႕ Ø ㌴⹱৙ዏ㉘㡩⳽୷㊣‭аө㡦≫⌌ሟᇌḑম֣ Ø ㌴⹱৙⳽ᢋ㡩㌴⬋ፄ৙ˏᖤơ☋Ⳳ⼟⨭Ἲ⭄ Ø ㌴⹱৙㐹㋵㡩ፎጚ㍝⨭⸆ơፒ⩰ြḑ㐹㋵

૏Уⴸ዗ኄ⓱ͪ〈႕ Ø ㌴⹱৙ዏ㉘㡩⳽୷㊣‭аө㡦≫⌌ሟᇌḑম֣ Ø ਗ㊣᧲ᬛơ8"'ơ*%4ơ͙ፖࠨ୷ө㊧ᇍ⭶ஂ Ø ㌴⹱৙⳽ᢋ㡩㌴⬋ፄ৙ˏᖤơ☋Ⳳ⼟⨭Ἲ⭄ Ø ਗ෠֥ஞ᝖ơ෠ᣬⅬ᝖ơ࿡␹⳽୷㊣‭аө Ø
㌴⹱৙㐹㋵㡩ፎጚ㍝⨭⸆ơፒ⩰ြḑ㐹㋵ Ø ਗ≕⊶⭫ㄻ⽀℀ё̶ᖤ՟ơṌჾᖤ՟

ギ⑸4*&.Ўᐎࣞ

8IFSF໙ߑ⭌㍱ଁ዗ኄ㦖 Ø ᙏ㍷⻜ᇌ Ø м㍷⬁ᇌ Ø ⒳ท₼ᇌ WHERE

ᜇ㒘⾒ኄ Ø ṛჽᙏ㍷⻜࿲⋣⃳ፖׁ㡦ᩜᴼ㊣‭ᖤ՟㡛 Ø ᵑ⋣⃳ፒᣩដơ፫ϙ⪒୷өݞ㐘㡦࿡ዅ⋣⃳ڡ෋ӧ β␹㡦ሟᇌ␹௉ፎᙏ㍷⻜ᇌ⋣⃳㡛 Ø ☬⋣⃳㊣‭୹ё㡦⹱ʵ㌴⬋ᇓ฾Ι╹ᙏ㍷ḑሟᇌ㡦 ٤⬋⭫ผஂ።வቶ⳽୷ᗏᡄơِᾉϑ≕⊶ḑ୷өᣩ ដ⾱ِዏϙ⪒୹ᵇƢ

ӱ㒘⮷ኄ Ø ⼈⼱ӧβ̹ᓹ௑ࣘ⃳٪㡦࿡ټˏᖤӱ̝⃳٪㡦Ιሟࡹṕᕵ㡦 َ₊ƫቸᝥƬƢ Ø ਗᎿᙏ㍷ᩜ᝖⩰ӧβ㡦ሟᇌ␹ፎ்ဪټ*1ơ࿡Ṟ⻝⋣ᚃḑӱ ̝ˏᖤ⼟⨭ሟᇌ㡦☬ሟᇌ࿜֤ፒᖤፎ٩̩ᣑ⼈ࡹṕᕵ⋣⃳Ƣ Ø ̹ᓹ฿㏪௉͙ፖࠨḑ⋣⃳ޢ≬ת㡦⽙Әʵ฿⬋ḑ⃳٪ӯୖ㡦 ˂ʺ௉ټ⋣ᚃ㐦ˏᖤϕⴟ㊋λṍ㞾ᠳᓩƢ

╫໏ⅴኄ Ø ⼈⼱ῢ̂೸⁰℻ታ෇㡦ᣑ⼈̹ᓹӨ⾠㡦ม⒳ทḋֽ ሟᇌƢṕխ"15ሟᇌ৙ჹٕᙐ㐦ታ෇㡦㌢̩㊣‭Ƣ Ø ሟᇌ␹ፎ⪩͵ʬ༃༦ቒ̳㡦ஜ⻿⊬̹ᓹ㊋ㆋ̍ᬳ㡦 ⯂Β̝㉐ݧƢ☬⮦̍ܓᜥፒӑ⵶⳽୷๸⋞㡦࿡ዅΒ ᴟḑ⹖㕴ږፒ୷өᣩដ㡦௉٩ⓗṛჽ⽈՚ӧβƢ Ø ⠿ᴨჾ՟ܓ೸㌱┗٩ṛჽᣑ⼈̹ᓹӨ⾠⃮ٕ⳽ቛƢ

㏄᪪ᯓܚ⯁ኅ઎ざ⿏⎸࡯㦖 Ref: https://www.facebook.com/thehackernews/posts/1307041839309686

8IFOσ㣉ᎇҭᐆểٳ዗ኄ Ø ᩜዏᩜգ Ø ፒぜয়ቭᣩដḋ⨾ḑዏϸ Ø ̹ᓹ⩰ᄳ㍝⳽୷ᣩដዏ WHEN

)PX༢㣉዗ኄỉ㦖 Ø ど௏ʵټḑሟᇌ㋡ᚃơṕḑჹٕʵټḑሟᇌታ෇㡦Νਗ ❐㌉໬ृ㡦࿡␹ዅど௏ො㞾⼟⨭ஆ⪩תሟᇌƢ Ø რᄚፖׁ㡩1PSU4DBOOJOH Ø ሟᇌᬿஂᣩដ㡩7VMOFSBCJMJUZ&YQMPJU Ø ̍೸ஆ⪩תሟᇌ㡩்ဪEBZơ⽦⺔ݞ㐘℻
Ø ㊧ቱፖׁሟᇌ㡩%P4ơ%%P4 HOW

)PXNVDI㐺ጫỉⶳ᥃↹ᯄ Ø ቃጉ࿝ኯ㡦ሟᇌ␹٤⬋՗ᴟʬ㞾⳽ᢋ㡦ᮄᇌ̹ᓹḑ ⓞො㞾㡦௡ⓗ৛ผ՚㏰።ḑ⳽ቛƢ͡ᵑ㊣‭℻≲⼷ ՚ʬஂ⁰൷㡦ሟᇌ␹௡฿㏪⬋☋Ⳳᔀ㕸࿜፭⼷࿜ሟ ᇌƢ 投入資源攻擊者企業（防禦者） HOW
MUCH

)PXNVDI㐺ጫჶ֜᠝࿞ٙ Ø ͡☬ሟᇌ␹།⼷࿜ḑṕḑ㡦Ⲃ̝㐡༦ှӧ⵶৛ḑዏ ㉘⼟⨭ᣑ⼈㡢"15ሟᇌ㡣㡦ዏ㉘٩ⓗ㉅⼷ቆϫፑ╾ ቆൖ㡦ը̹ᓹ㌢̩㊣‭㡦ࡻᩜ᝖⋞ႊ㉅˕∭֣ᝥ༦Ƣ 投入時間、注意⼒力力攻擊者企業（防禦者） HOW MUCH

Ϯᖱ㒘ಇⶳయΦϨỉᜇ⁁စฯ

㒘ಇⶳయΦϨỉể᷒ Ø ϫ⳽ਗͮ৖ធḑ㡮 Ø ข㏡ↂ࢔ፒ৙ඩ㡮 Ø ท⎊⮦ਗͮ⢦᱙㡮

Ҡⶳ૏У઎ᡊỉ Ø ᐦᇘϫ⳽৖ធḑ໬ᝄΙՓஂ⳽୷ḑݞ㐘Ժࢢܛϫ᳉ↀ㡦 ٩ⓗዅ≕⊶ᣩដơྭᴟ⁰෇ᣩដơ༃༦⁰෇ӧβơ࿡ ␹ዅܓ೸༃༦৖ធ⳽ቛƢՁ࿜̩ʳʱϫ₇㐦ΙՓஂ㡩 Ø ቆぞ Ø ₇㐦 Ø
ዏ㉘

຺㔂∺ॊᐊઑ๡ Ø ዅʬϫ⃳ḑϫ⳽৖ធ㡦⽞ዅʬϫ㌉࢙ḑϫ⳽৖ធ㡮 Ø ⽈՚ӧβḑ͙ፖࠨơ⽈՚༲Ꮴḑ㌱┗㡦ዅڑ⽞ፎญ Өබ͗㡮ਗͮᙎ⨤ᢶ᧲㡮 Ø ૊㕴ơݘⱳơⳛׁᅆ১ơ᝖ถݞ㐘

໏⑂ⱜ૏У⥝ᴑ Ø ᗏ⭢⎛১㡦ʵⅳዅᖤ՟ʲḑᣩដơ⬕ↂḑʵ⵶ơာ ⨱ḑ⎛㋐ơ̍೸ḑ১⯉㡦⽙ӘӻᘟḋᴚƢ Ø ☬⽈՚ӧβḑ͙ፖࠨ㡦㋥㌡㊧⊠㡦⽙Әሟᇌ␹ឪ⃪ Ө⾠㡦˂ʺϑөⱍᇘơたᠳٖ஑ↂ࢔㡦ፌท௉⮦͙ ፖࠨ୹ቂぜයƢ

෤⯊ᓪђ

⹖↫◘ᐥ዗ኄ$SPTT4JUF4DSJQUJOH Ø ࿜ࡻ㡩㉐ḋ␹፫⼱ᦝ⺛ӧВ㡦ṛჽ௉ٍቆሡӧ⋣㏣ˆ㡦Βሟᇌ␹٩̵༦ᄝӧ )5.-ӏ≸㡦ΝਗJGSBNFơTDSJQU℻ Ø ሟᇌ⊛Ꮏ㡩 Ø ⃮ٕʬ▪ᴟ࿶ơⅳ᱙␹ന⢬ Ø ぜቭௐځ༃༦⋣⃳
Ø ⃪ሞ⋣⃳৖⬵ᕼ෇ Ø ข㏡㡩Βᴟ␹ന⢬⩰⃮ٕ㡢ኴ⽈⮍㔔㌉࢙ᴟΙṇٕϫ⳽˂⼟ʬᙑ՗ᴟ㡦࢒Ө ഀፒᐲΝ㡣

↦܋෠⥣ᡢℨ Ḋӧ ٕผ$PPLJF ⋍ᴨ944ᣩដ  $PPLJF⽈⃮ ٕผ$PPLJF .BMJDJPVT4FSWFS "UUBDLFS 7VMOFSBCMF4FSWFS 7JDUJN
ჾ՟ന⢬

ⶳⰖᡊᦡ*OGPSNBUJPO-FBLBHF Ø ࿜ࡻ㡩⋞⼮̍ܓ࿡㉐ḋ␹⭶ஂㅟ⯉㡦ௐ╿≕⊶ᖤሪ⳽⭠ធᣩት⋣⃳ʲ Ø ബ⬔᭱ᝄ Ø ػ੉ᾋធᣩന⢬ஞᾋơធᣩท٪ṕㄻ Ø ㅟ⯉⭠ິធᣩ⋣⃳⁰෇ⶦนơធᣩ⾠Ձػ੉ᾋ Ø
ធᣩ͵ᓹ≕⊶ơ'SBNFXPSL㐦ِࣘᬝ፭ Ø ё̶ᗃᐲធᣩ⋣⃳Ꮜᕀơػ੉ᾋ Ø ข㏡㡩ʵʬஂፒ⃯أ㐹㋵㡦͡⊛ٸӱ̝ො㞾ዏข㏡٩য়٩௑

42-*OKFDUJPO Web Server Database Attacker ెจሗӋ ڢ͍੬ݟ༔  ԴʘੂБܸ˿ ፩̈ഐ؈ ΫᏐ፩̈
ҸᏘ٫ెจੂБն˿ ʫ௅4FSWFS ెจੂБܸ˿ ܸ˿ΫᏐ ʫၣ

෤⯊ᓪђ IUUQEFWDPSFQBZQIQ JUFNBCDBNPVOU

෤⯊ᓪђ $POU Ø ፒˊだឪḑ̹ᓹ㡦⾱฿㏪⬋ᝥ༦ᙐ㐦ݞ㐘 Ø ḋᴚػࡻ㡩ṛჽ᪊だឪݘᄛΩḑↂ፭ᆼ஺⁰෇㡦˥፫㕇ⱍ̂ ኴ⊛Ꮏዅڑᙏᾉ Ø ข㏡㡩 Ø
ᩜ̍೸௏ന㡩য়ぞだㅓᅆ১ Ø ፒ̍೸௏ന㡩঎֥௏ന֣̍Ⳛᇓ

෤⯊ᓪђ $POU Ø ⭄ᜐታᐲ㡢⬙だឪݘᄛΩ"1*␽ፒ࿼ʵټ㡣㡩㕇ⱍだឪݘࡹѡḑፌ⊑̂ኴだ㐙ዅڑᙏᾉ Βᴟ4FSWFSUP4FSWFSḑታ෇ѡ⼿ٍቆ ࢢḋ⻿ḑٍቆˆ֥ӧʬ⊓㕇ⱍᾋ㡦ⲂだឪݘᗏᏱჽማ՚
ḑٍቆዅڑᙏᾉ

㑒ࠎ⎛↫ㄖᡢᡢℨ ៖Ⳳ␹ だឪݘ ㌱ݘ⋣⃳ ⴦ᬳ ௐځ╾だឪݘ ̟ᘲ
⼐ἃ̟ᘲ୹࿜

㑒ࠎ⎛↫ㄖᡢᡢℨ ៖Ⳳ␹ だឪݘ ㌱ݘ⋣⃳ ⴦ᬳ ௐځ╾だឪݘ ̟ᘲ
⼐ἃ̟ᘲ୹࿜ чᷗᩣ⯨ࣞἓᆵಈܷ

㑒ࠎ⎛↫ㄖᡢᡢℨ ៖Ⳳ␹ だឪݘ ㌱ݘ⋣⃳ ⴦ᬳ ௐځ╾だឪݘ ↢ዖϔᛪㄖ㔺
⿆Άϔᛪఱ႔

෤⯊ᓪђₘ∺

▟㔃கӼᴫƭ▟㑊㌆Ӽ୥

5BLFBXBZ Ø ⳽୷ഀ⋍࿜᨟ข㏡̹ᓹݘⱳˏࡻ˘ʬ Ø ˯⭄ቃ̍㡦ဆⓗ՟ፖቃ̍㡩8) Ø ዏዏፄቭ⳽୷⬵๝㡦ἃ೿ἃฉḍ࿲ʵ๺ Ø ՂכΫⴟ⳽୷⭶ё㡦㓲ஆዅ̍㡦ʵዅ㌱┗ Ø
ʵ⬋Ṟϕ̵ͮΒᴟ␹ḑ⺛ӧơ⺛Ժ㡩  ƫ'JMUFS*OQVU&TDBQF0VUQVUƬ

ࠔ㔹♆ⰘⲢ

͡ౌಉ㑒ࠎ૏Уᐊዟ㏄৾㘓ా֜ѧ㦖 Ø ṍ㞾㐹㋵࿼ࢢ Ø යᕀ㊣‭ᄁቶ Ø ᵐࢩᵀୖ⭫ㄻ

ἅ㣟㕚㐖Ⴔक़ Ø ṍ㞾ٵ₇⳽ቛḑୖሡͦ⏀ơୖٕᘐ㊶ơϑⱮᄁቶ Ø Νਗ㡩ϫ⳽ơ̂ኴ⳽ቛơだ⦎⳽ቛơന⢬ஞᾋơػ ੉ᾋơ֥ஞだ㈴ Ø ㌱ݘ⋣⃳ḑ⳽ቛୖٕჾ՟฿㏪ፄ࡟ᐩჾⅳ㡦฿㏪㊶ ՟ⓗୖٕϫ⳽ḑܓ೸ቆぞ㡦˂ࢢᚖᘟୖٕவ⨭⭫ㄻ ̩Ω₏ᐥᗏᏱƢ

๲ᗸ㏄⃥ᆹጮ Ø ௉ṍ㞾ԺΙḑ㐹㋵⢦⼟⨭ʵټ㐦ࣘḑ㊣‭ᄁቶ㡦Ν ਗḌٽޢ㊣᧲ᬛ㊧ᇍơ⹖㕴෇㊣᧲ᬛơ֥ஞ℻℻Ƣ Ø ന⢬ḑϑⱮʬถჹᴟ'" 5XP'BDUPS "VUIFOUJDBUJPO 㡦ਗὔ㕴࿡⹖㕴෇051Ƣ

Ḉय़᷸ఎⰡ㈣ Ø ≕⊶ِ⋣ⶦ⭫ㄻዅ⯚Ᏹ⳽୷˱̳ḑራێ⍮≺㡦☬ᜥ ፒ̵ͮ⭫ㄻ㡦˥ᜥፒ⯚Ᏹḑ٩ⓗƢ Ø ሟᇌ␹ӧβท฿ஂ߲⮜՘㋃⹈⶚⭫ㄻ㡦ࡻᙐ฿㏪ᵐ ࢩᵀୖ⭫ㄻ㡦͵᨟፫Ιृᐲِ⯚ᏱΒᴟƢ

⇠ͦጫ๞ࠎɗલϨࠔ㔹 Ø ̹ᓹ⋍ബΒᴟℨʱታ৺̳ය⏀ፖׁ̩ↀṤ㉐ḋዏ㉘㡦͡ة⋍ബ๢ ᵊℨʱታ৺̳࿼෋ḋḑ⳽୷ⱬ㐘㡩 Ø ⮦৺̳ዅڑ⋍ബ⽈ٖሟᇌ㡮 Ø ⮦৺̳ዅڑ⽈ٖሟᇌทዅڑḒⓗ⻗⼕ずԺ⳽୷ፄቭ㡮 Ø ⮦৺̳ዅڑፒொ⑽ḑ4FDVSJUZ5FBN㡮
Ø ⮦৺̳ዅڑፒჽٖ࡟ⰿḑ⳽୷ᡄ⮜㡮 Ø ⮦৺̳ዅڑፒ⋞Ɱඦݘ٩Ω⯾⮚㡮

┮⍡ጫ๿ ☬௏࿝ϰḑፖׁፒ̵ͮḑᵣݞ㡦 ᙍ⻜㋳ዏ▎࿝ϰ⑶⍰Ƣ IUUQEFWDPSF DPOUBDU!EFWDPSF

2016.11.30 電商業者的資安困境

2016.11.30 電商業者的資安困境

More Decks by DEVCORE

Other Decks in Business

Featured

Transcript