作為主辦單位，不可不知的資訊安全小知識

辦比賽，資訊安全重要嗎？

要辦比賽，建置一個比賽官網絕對是基本中的基本，除了視覺上的美觀和功能的齊全之外，資訊安全其實也非常重要，但經常沒有被重視。如果比賽官網不幸發生資安漏洞，除了會造成主辦單位形象損害之外，甚至可能會演變為法律上的訴訟導致各種損失。例如2017年國內的知名旅行社，傳出有36萬筆客戶個人姓名、聯絡電話以及購買商品等資訊外洩，並疑似有多位民眾因此接到詐騙電話，蒙受詐騙，其中損失金額最高者近 70 萬元。其中24位遭資訊外洩波及消費者更向消基會申訴，對該旅行社提起民事團體訴訟，依個資法求償數百萬元！雖然該旅行社主張公司一向嚴格遵守個資法規定，也並無故意或過失，無須負擔損害賠償責任，最後法院也判決該公司不用賠償，但整件事鬧到登上媒體版面，已對該公司聲譽造成一定的損傷。由此為鑑，本文將列舉一些您不可不知的網站資安漏洞與可能造成的危害。

XSS 和 SQL injection 是啥？他們跟資安有什麼關係？

一些資訊安全防範機制不完善的網站，是可能遭受有心人士的 XSS（Cross Site Script） 攻擊的。所謂 XSS 就是在一些可讓用戶輸入文字的地方（例如：搜尋、留言、輸入帳號... 等），輸入惡意的網站前端指令碼（javascript），由於前端指令碼能夠操控或改寫網頁的幾乎所有元件、讀取儲存在用戶端的資料（cookie），所以若網站對此沒有防禦機制的話，那當使用者拜訪被植入惡意程式碼的頁面時，就只能被動的視該惡意程式碼的內容，來決定傷害的大小，輕微的可能是惡作劇似的彈出一串不明所以的訊息或讓人尷尬的音效，較嚴重的情況下，惡意程式碼會假冒用戶的身份在該網站執行一些管理動作，例如：加好友、投票、發訊息...等，更有甚者，使用者儲存在該網站的隱私資料可能會被惡意程式盜取，例如去讀取使用者的 cookie 資訊（通常會包含一些身份識別或個人隱私相關的資料） 再傳回駭客自行架設的資料蒐集網站，抑或是把使用者在無自覺的情況下導向釣魚網站，這類釣魚網站會出現與常見的社群網站幾乎一樣的網址和操作介面，藉此騙取用戶的帳號密碼後，接著就不可免的必然會被盜用帳號、個資遭竊，對用戶的影響甚鉅。

SQL injection 攻擊和 XSS 類似，也是在網頁中可輸入文字處輸入惡意指令碼，只不過 SQL injection 不是輸入前端指令碼，而是輸入資料庫相關的指令。若程式對於輸入進來的文字沒有任何預處理，駭客便有機會利用後端（伺服器端）可應用的語法漏洞來撈取資料，甚或是直接刪除所有資料。若資料庫中敏感資訊未加密處理，後果不堪設想。

結語：資安絕對不是杞人憂天的煩惱

雖然 XSS 和 SQL injection 已是比較舊的攻擊技術，但它們仍然老當益壯，而且嘗試成本非常低（只要輸入一段預先準備好的指令碼並送出），很適合做亂槍打鳥式的攻擊。這兩種惡意攻擊方式，分別當選 2017 年網站安全風險的第七名和第一名（排名由資安界的權威組織 OWASP 基金會提供）。一些較無經驗的開發者或是倉促完成的專案，都可能隱含許多潛在的安全漏洞，是我們在籌劃活動網站時，容易疏忽掉的重點之一。獎金獵人擁有豐富的辦比賽經驗，我們提供的「辦比賽平台」，除了能幫助您快速搭建外觀和功能兼具的比賽網站之外，基於我們對於資訊安全豐富的經驗，使用我們的辦比賽平台所架出的網站也能免於被 XSS 與 SQL injection 攻擊的風險。所以下次當您有辦比賽的需求時，不妨聯絡我們的比賽顧問（https://services.bhuntr.com/#contact-us)，讓我們為您做一個完整的介紹吧！