英国的国家网络安全中心(National CyberSecurity Centre,NCSC)在本周发布了漏洞披露工具包(Vulnerability Disclosure Toolkit),以协助各组织创建或改善漏洞披露流程。
NCSC阐明,该工具包是提供给想要实施漏洞披露程序的组织,尽管它不是一个全方面的指南,但它具备了各种必要组件。
该工具包列出的漏洞披露程序三大组件,包括:网页格式的通信窗口,以便任何发现安全漏洞的人提交信息;以及必须提供清楚的政策,让双方能够在同意的框架上进行合作,例如安全通信选项、漏洞报告中应包含的信息、回应的方式,以及所接受的漏洞范围等;另也建议各组织应该采用Security.txt。
Security.txt为一提供网站安全信息的建议标准,目的是为了让安全研究人员更容易举报漏洞,它的文件名称就叫做Security.txt,以文本描述各网站的安全策略、漏洞披露程序及联系窗口,目前包括脸书、Google、GitHub及LinkedIn都已采用Security.txt。
该工具包也特别提供了网站对跨站脚本(Cross-site scripting,XSS)与子域名接管漏洞的回应方式,因为它们是NCSC所收到的最常见漏洞。
NCSC指出,反射性的XSS漏洞常被用来发动伪造网站或网络钓鱼攻击,服务器端的脚本程序会在网页客户端提供资料,替受害者产生一个结果页面,假设用户所提供的资料缺乏适当的验证,客户端的执行程序可能就会注入动态页面中,而允许黑客窃取受害者的令牌、记录键盘输入,或是执行特权行动等。NCSC则建议网站,应该同时执行特定的脉络输入验证与输出编码来缓解相关攻击。
至于子域名接管则是当一个子域名被配置成显示第三方网站内容时,较容易出现的安全漏洞。这类的配置通常会利用正规名称记录(CNAME)机制,以用来替特定域名的正式名称及别名创建连接,例如将www“.”example.com对应到example.com域名的实际网站,可能应用在由第三方托管的邮件或地图服务上,但若第三方的子域名过期了、或是因任何原因而无法指向应有的内容,就有可能被黑客接管。
NCSC建议网站移除不需要或不再被托管的子域名,以确保不被黑客利用。