-
Continue reading →: 手機平台為何不再建議將「憑證綁定 Certificate Pinning」列為必要測試項目
Certificate Pinning(憑證釘選) 是一種用來防止「中間人攻擊(MITM)」的 HTTPS 強化機制,在過去一直被認為是必須執行的安全程式寫法。光盾資訊過去也曾發表相關研究: https://cccisa.ccisa.org.tw/article/download/1961/1968 光盾團隊也把相關內容應用於滲透測試(https://www.rayaegis.com/solutions/service/pentesting/)。 然而,近幾年相關安全性的做法有了變化。Android 官方文件(https://developer.android.com/privacy-and-security/security-ssl#Pinning)指出: Certificate pinning is not recommended for Android apps. Future server configuration changes such as changing the CA will render pinned apps unable to connect without an app update. 儘管Android 仍提供 Network Security Configuration 供開發者管理信任 CA、Certificate Transparency 與選用 Pinning,但官方明確標註為不建議作為一般做法。 Android 官方(https://developer.android.com/privacy-and-security/security-config、https://developer.android.com/privacy-and-security/certificate-transparency-policy)也建議使用 Certificate…
-
Continue reading →: 台日金融資安首屆高層會議登場 光盾資訊促成關鍵對話 三大實戰洞見揭示資安新趨勢,打造跨國韌性防線
在AI驅動攻擊與供應鏈風險同步升溫的當下,光盾資訊(RayAegis)再度站上亞太資安舞台的核心角色。由光盾資訊日本子公司(RayAegis JP)主辦的「台日金融資安長交流大會」於日前在日本東京圓滿落幕,匯集台灣與日本近60家金融單位資安長(CISO),進行實戰經驗與戰略思維的深度交流。 本次會議是台日資安高層首次以實體方式深入交流,對於提升跨境合作與金融防禦成熟度具有指標性意義,更標誌光盾資訊作為台日資安橋樑的實質貢獻。 「我們相信,金融資安的核心早已不只是『部署防線』,而是要進一步『確實驗證這些防線是否有效』。這次交流會,就是要把『有效性』從紙上計畫,帶回真實戰場。」 —— 光盾資訊創辦人暨董事長 江格 三大實戰重點,讓演練不再只是形式 在會議中,來自台日的三位資安領導者聚焦於當前最具破壞性的資安挑戰,並提出關鍵解方: 1. 中國信託商業銀行:資安不是有做就好,而是「要能驗證有效性」 中國信託商業銀行 CISO 吳佑文分享了完整的資安風險管理流程,從每日追蹤全球攻擊趨勢與TTP、建立風險情境清單、計算風險評等與繪製關鍵風險地圖,到針對高風險項目設計縱深防禦機制,形成從預警、控管到演練驗證的全流程治理。 「部署機制不是終點,驗證效能才是治理的開始。」中信銀團隊針對每個攻擊手法設計測試劇本,並設定預期偵測結果與行動標準,確保系統、SOC、應變人員間的鏈條能在壓力下啟動。 2. 瑞穗金融集團:APT進化為寄生型攻擊,傳統偵測已失效 瑞穗金融集團 CISO 寺井理指出,以Volt Typhoon、MirrorFace為代表的國家級APT攻擊者,已從單點攻擊進化為「環境寄生型」行為。面對這類潛伏難偵測的攻擊,瑞穗透過紅隊演練與紫隊模擬,建立假設性攻擊情境,再由CIRT、SOC驗證是否能及時發現與應變。 3. 光盾資訊 董事長江格指出,在AI快速演進下,攻擊的成本及技術門檻愈來愈低、頻率愈來愈高,銀行應由top-down的方式,制定深度防禦計畫,並定期對這些計畫進行演練,不斷提高「資安韌性」。 光盾資訊執行多年資安攻防演練後發現,台日企業許多防線雖部署齊全,卻未針對最新攻擊模式設定測試指標與效能追蹤,導致許多新型外來攻擊行為並未有效被偵測;另外,藉由內部檢測也意外發現許多供應商產品或外來程式碼中潛藏的後門和惡意指令,這也常常成為了資安強化防線中的漏網之魚。未來將持續推廣以「Resilience DNA」為核心的演練架構,協助客戶在AI世代實現具主動性與可驗證性的防禦體系。 光盾資訊未來三大承諾,協助台灣金融業與國際接軌: 1. 導入「可驗證的演練效能標準」,強化防禦落地與實戰反應 2. 協助國際跨境聯防與威脅情報共享機制 3. 推動國際資源合作,協助銀行自主提升各項攻防演練成熟度 本次台日交流會所傳遞的,不僅是經驗與戰術,更是一種新的資安治理思維。 光盾資訊未來也將持續透過實戰知識整合、平台連結與策略合作,協助金融客戶全面強化攻防韌性。 關於光盾資訊 RayAegis 光盾資訊(RayAegis)專注於關鍵系統的資安檢測與防護,涵蓋台灣、日本、美國、歐洲與印度等市場,並持續擴展全球合作版圖。自2011年成立以來,光盾秉持「高技術發展、可驗證結果」的核心理念,致力協助全球客戶建立具備戰略主動性與高度韌性的資安架構。 光盾為專業資安技術團隊,除了各式資安檢測外,更專注在AI攻擊偵測的新技術發展。光盾資訊專精於結合人工智慧、大數據與資訊安全技術,成功偵測多起新型國際惡意程式與零時差漏洞,屢次協助國際知名企業發現重大弱點並即時移除潛藏威脅,預防多起高風險資安事件發生。 光盾資訊於2019年,在日本成立子公司。憑藉卓越技術實績與國際聲譽,光盾多次受邀參與國際資安組織與標準機構交流合作,包括美國有線電纜標準組織、日本CCDS協會、日本網路犯罪對策中心(JC3)及IEEE等,展現其在全球資安領域的關鍵影響力。更多資訊請瀏覽: https://www.rayaegis.com/ 新聞相關報導: https://www.ithome.com.tw/pr/169504
-
Continue reading →: 光盾資訊榮獲優良實驗室
專注於資訊安全技術研發的光盾資訊(RayAegis),榮獲由行動應用資安聯盟(MAS)頒發的「優良實驗室」殊榮,並於今日(2025.4.15)盛大舉行的頒獎典禮中,由本公司董事長親自上台領獎,接受政府與產業界的共同肯定。 光盾資訊長年深耕於資安AI防禦技術、滲透測試演練、紅隊模擬等領域,並與各大金融、政府、電信單位緊密合作。本次入選「優良實驗室」,代表著光盾在研發創新、實務成果與業界影響力上皆獲高度認可。 此次頒獎典禮由 MAS 舉辦,目的在於鼓勵資安研究機構精進研發能量,並促進產官學三方交流合作。 光盾資訊董事長表示:「我們將持續以最高標準自我要求,打造結合技術、實戰與國際視野的資安核心實驗室。」未來,光盾將持續最新技術的研發,為客戶帶來最佳的安全保障。
-
Continue reading →: 日台金融機構網路安全交流會——以強化亞太地區金融安全為目標
RayAegis Japan將於2025年5月13日,於東京都立產業貿易中心濱松町館舉辦以「日台金融機構的網路安全課題與對策」為主題的交流會與研討會。 一同思考數位時代的金融安全 隨著亞太地區金融市場的重要性日益提升,日本與台灣在金融科技創新與網路安全領域面臨諸多共通課題。隨著數位化加速,金融機構面臨的網路攻擊風險年年上升,因此跨國經驗與知識的交流變得不可或缺。 本次交流會正是基於這樣的背景,旨在促進兩國金融機構的資安負責人(CISO)間的專業知識交換與關係強化。 內容豐富的活動安排 開場致詞將由RayAegis Japan股份有限公司代表取締役社長青木登先生進行,隨後將進行以下專題演講: 演講結束後,將設有名片交換會,提供與會者交流與建立人脈的機會。 為實務人士量身打造的實用交流平台 本活動對象為各金融機構的CISO、資安負責人以及具同等職責者。使用語言為日語與中文,現場提供同步口譯,讓與會者無須擔心語言障礙。 日文內容請參考:https://prtimes.jp/main/html/rd/p/000000019.000066500.html?fbclid=IwY2xjawJYLpBleHRuA2FlbQIxMQABHWVEZGneJKpUvzwfExk6aHLVm3Jqd0_s2xGWCkUi3tWgOGw8QwDwgmXyBw_aem_Rs1qyGfsc6FY1s1u8W5IXw
-
Continue reading →: 什麼是滲透測試?
滲透測試是什麼?(Penetration Testing / Pentest) 滲透測試(Penetration Testing, Pentest) 是由專業資安測試人員,在合法授權範圍內,以真實駭客的攻擊手法模擬入侵企業系統,找出可被實際利用的高風險漏洞,並評估這些漏洞一旦遭到攻擊,將對企業營運、資料機密性與系統可用性造成的實際影響。 滲透測試與弱點掃描(Vulnerability Scanning)最大的差異在於: 弱點掃描只列出可能存在的漏洞,而滲透測試會實際驗證漏洞是否真的能被攻破。 滲透測試的核心價值 滲透測試的重點不在於漏洞數量,而在於風險真實性: -驗證漏洞是否「真的能被入侵」 -重建完整攻擊鏈(Kill Chain / Attack Path) -評估駭客能取得的權限、資料與系統控制能力 -量化企業在真實攻擊情境下的營運衝擊風險 因此,滲透測試不是找漏洞,而是驗證企業面對真實攻擊時的存活能力。 不同於弱點掃描,滲透測試必須以【人工 + 工具】的方式,實際嘗試入侵系統。 國際主流滲透測試流程 全球多數滲透測試專案皆遵循以下標準流程: -測試範圍與授權確認(Scoping & Authorization) -資訊蒐集(Reconnaissance / OSINT) -威脅建模與攻擊面分析(Threat Modeling) -弱點分析(Vulnerability Analysis) -實際利用與權限提升(Exploitation & Privilege Escalation) -橫向移動與資料存取驗證(Lateral Movement) -成果驗證與報告(Reporting & Remediation Advice) …
-
Continue reading →: CVE-2024-53677
CVE-2024-53677(S2-067),是影響 Apache Struts 的一個重大漏洞,主要涉及文件上傳邏輯的缺陷。 CVSS 分數與風險等級 該漏洞的 CVSS 4.0(通用漏洞評分系統)分數為 9.5(滿分 10 分),風險等級被評定為Critical。 漏洞成因 該漏洞源於 Apache Struts 的文件上傳邏輯存在缺陷。當應用程式使用 FileUploadInterceptor 進行文件上傳時,攻擊者可以操縱上傳參數,利用路徑遍歷(Path Traversal)技術,將惡意檔案上傳至主機的任意位置。這可能導致遠程式碼執行等嚴重後果。 影響範圍 受影響的 Apache Struts 版本包括: 需要注意的是,即使僅使用 FileUploadInterceptor 的應用程式,仍會受到該漏洞的影響。 可能影響 成功利用該漏洞的攻擊者可以: 解決方案 為防止該漏洞的利用,建議採取以下措施: 總而言之,CVE-2024-53677 是一個高風險漏洞,最嚴重可導致遠端任意程式執行。強烈建議受影響的用戶盡快升級至最新版本的 Apache Struts,並採取適當的安全措施來防範潛在的攻擊。 若無法立即升級但有使用WAF,可先由以下方式緩解 直接阻擋由網際網路上傳的.jsp檔,這樣可防止駭客上傳.jsp的webshell檔案(針對http-post .jsp檔案進行阻擋)。 另外建議進行下面的檢查: [1]檢查上傳文件是否帶有特殊符號,例如: % { # [ ] ‘ } / .. > <“ [2]阻擋以下關鍵字: top.uploadFileName、destinationPath [3]檢查異常的 multipart/form-data
-
Continue reading →: 中信金以 AI 與零信任強化資安防護
中國信託銀行運用 AI 技術與零信任架構強化資安防護,並透過聯防平台,成功攔阻多起詐騙匯款案件,展現 AI 與零信任架構在金融資安防護中的實際成效。 中國信託 2015 年就成立數位金融發展專責單位,積極探索利用 AI 技術增強資安防護的能力。中信銀行資安長吳佑文表示,以外部防護為例,已建立新型態威脅偵測系統,利用 AI 技術分析網際網路攻擊封包、識別新型態或變形的攻擊指令、輔助及改善傳統以特徵碼為基礎的資安防護機制,降低現今氾濫的零時差弱點(Zero-Day Vulnerability)攻擊風險。 #UTDS: https://www.rayaegis.com/solutions/%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E9%A1%A7%E5%95%8F%E6%9C%8D%E5%8B%99%E5%8F%8A%E7%94%A2%E5%93%81/api%EF%BC%BFinventorying/ #光盾資訊:https://www.rayaegis.com.tw/ 新聞網址: https://finance.technews.tw/2024/12/10/skynet/
-
Continue reading →: AI模型的重大資安漏洞
隨著AI的發展,愈來愈多研究人員、公司、組織開始使用開源AI套件。然而,網路安全研究人員近期發現了近二十個安全漏洞,分佈於15個與機器學習(ML)相關的開源項目(opensource)。這些漏洞影響主機端和客戶端,可被攻擊者利用來攻擊組織內的重大服務器,例如如機器學習(ML)模型註冊表、機器學習(ML)數據庫。 以下是部份漏洞的簡要說明(嚴重度利用CVSS 3.x來分類): • CVE-2024-7340(CVSS分數:8.8):Weave ML工具包中的目錄遍歷漏洞,允許用戶讀取整個文件系統中的文件,使低權限的已認證用戶可通過讀取名為「api_keys.ibd」的文件,越權為管理員角色。https://nvd.nist.gov/vuln/detail/CVE-2024-7340 • CVE-2024-6507(CVSS分數:8.1):Deep Lake AI數據庫中的命令注入漏洞,因缺乏適當的輸入驗證,攻擊者可以在上傳遠程Kaggle數據集時注入系統命令。https://nvd.nist.gov/vuln/detail/CVE-2024-6507 • CVE-2024-5565(CVSS分數:8.1):Vanna.AI庫中的提示注入漏洞,可被利用來注入程式,進行python任意程式執行。https://nvd.nist.gov/vuln/detail/CVE-2024-5565 舉例來說,若在Vanna.AI庫中,注入下列程式碼,即可印出os.getuid()的執行結果(Python 中的一個函數,用於取得當前用戶的id)。 在AI蓬勃發展的現代,為防止相關攻擊,程式開發者仍應注意「輸入驗證」、「最小權限原則」這些既有法則。重要的檔案、目錄之路徑亦應使用白名單,避免攻擊者存取敏感資訊及指令。下面為一些進一步做法的說明:
-
Continue reading →: 影子API
影子API(Shadow API), 是指未經正式管理、記錄或監控的API。它們可能被開發者或第三方私自建立,或由於管理上的遺漏而未被納入組織的API管理範圍;它亦可能是 被開發者或第三方 不小心引用套件時所誤用。這樣的API容易帶來安全風險,可能缺乏適當的身份驗證、數據保護,並可能暴露敏感信息,成為攻擊者的目標。 總結與建議 影子API是現今企業API保護的主要威脅之一,對於API的發現、監控和管理至關重要。企業應該: 這些措施有助於減少影子API的風險,保護企業的數據與業務資產。
-
Continue reading →: 網路犯罪分子利用 HTTP 標頭進行大規模網路釣魚攻擊竊取個資
光盾資訊的研究員發現,網路釣魚活動正在濫用 HTTP 標頭中的重新整理條目來傳送偽造的電子郵件登入頁面。 「惡意連結會指示瀏覽器自動重新整理或重新載入網頁,無需用戶互動。」 在這個攻擊手法中,攻擊者用的是「Refresh headers and meta tags」。有兩種方式可以實現,功能上是相同的:使用 meta refresh 標籤和 HTTP refresh 標頭。 使用 meta 標籤的形式如下: <meta http-equiv=”refresh” content=”10;url=https://hacking_site.com”> 同等效果的 HTTP 標頭形式如下: Refresh: 10;url=https://hacking_site.com 這兩種方式都會指示瀏覽器等待 10 秒後重定向到指定的 URL。這些方法有合法的用途,比如將用戶從啟動畫面重定向到內容頁面,或強制定期刷新不斷更新內容的頁面,然而,問題就出現在當駭客能夠在合法網站中,插入這些標籤或標頭時。 感染鏈的起點是一封包含連結的電子郵件,當用戶點擊連結到一個合法網站後,便會觸發重定向到由攻擊者控制的憑證竊取頁面(例如:hacking_site.com)。為了讓網路釣魚攻擊看起來更具合法性,這些惡意的網頁郵件登入頁面還會預先填入收件人的電子郵件地址。 目前已知來自越南的駭客團體(Storm-1152)大量使用此方法竊取個資(https://thehackernews.com/2023/12/microsoft-takes-legal-action-to-crack.html)。在開信時,大家必須注意多個面向,不要任意開啟連結,才能確保資訊安全。
光盾資訊
分享資安相關文章、新聞的地方
與我們聯絡
Check out latest information security news!
Stay updated with our latest news