駭客視角檢測市政資安系統 台南首辦實戰測試揪出153漏洞
〔記者洪瑞琴/台南報導〕台南市府今年舉辦「Hack the Tainan紅藍軍資安攻防競賽」,是南台灣首次以市政資訊系統為實戰場域進行攻防演練,共發現153項系統弱點,並立即啟動改善機制。此舉不僅強化市府資安韌性,更獲美國資安專家高度肯定,以實戰帶動防護升級。
市府研考會指出,今年上半年競賽邀集全國「白帽駭客」、學生及產業代表扮演紅軍進行滲透測試,揭露的153項弱點中,以「網頁資訊曝險」、「資料庫注入攻擊(SQL Injection)」及「儲存式跨站腳本攻擊(Stored XSS)」為三大弱點。
研考會表示,網頁資訊曝險弱點是網站的系統資訊沒有隱藏,如網站伺服器(WebServer)的版本,因為版本資訊如果被駭客知道,就會比較容易透過版本資訊,而知道有什麼漏洞可以入侵,所以網頁資訊曝險弱點是最常見。
資料庫注入攻擊,則是指網頁呈現給使用者瀏覽及查詢時,駭客可以在查詢欄位透過特定的指令,去撈到非公開給民眾的資訊,而造成資料洩漏。儲存式跨站腳本攻擊,指攻擊者將程式碼附加到合法網站上,當受害者載入網站時,程式碼就會執行。
對於檢測出的弱點,研考會已要求各機關立即修補,並將安排資安稽核與複測,以確保修補到位,全面提升市府資訊系統的安全防護能力。
美國在台協會高雄分處邀請美國國務院公民講者計畫資安專家Guillermo Christensen與市府資安人員座談交流。Christensen特別讚許南市能率先舉行市政系統攻防演練,從駭客角度檢視市政資安防線。
Christensen同時提醒,AI工具發展成熟雖能輔助資安,但也可能被駭客利用加速系統漏洞掃描,市府應持續保持敏銳警覺,強化即時防護與應變能力。