Akamai 辨識出 SEO 網路應用程式攻擊活動

內容遞送網路（content delivery network，CDN）服務的全球領導廠商 Akamai Technologies, Inc.發表該公司威脅研究部門所做的最新網路安全威脅建議書。威脅研究指出，近來有針對搜尋引擎最佳化（SEO）的攻擊活動，藉由 SQL 注入以攻擊目標網站。受攻擊的網站會發送隱藏的超文字標記語言（Hypertext Markup Language；HTML）連結，以干擾搜尋引擎機器人，進而造成網頁排名錯誤。詳述攻擊過程的完整報告可從下載。

概覽

在 2015 年第三季的兩周期間，威脅研究分析從 Akamai Intelligent Platform^™ 收集到的資料，並觀察超過 3,800 個網站及參與攻擊活動的 348 個獨特 IP 位址，獲得以下重要結果：

• 大量竄改證據 – 當搜尋網際網路以尋找用於此攻擊活動的 HTML 連結時，威脅研究辨識出數百個包含此類惡意連結的網頁應用程式。
• 攻擊會操控搜尋引擎結果 – 當搜尋如「cheat（偷情）」和「story（故事）」這兩個常用字的組合時，應用程式「cheating stories（偷情故事）」會明顯地出現在知名搜尋引擎首頁。
• 分析資料顯示出攻擊的影響 – 威脅研究深入查看 Alexa 的分析資料，發現應用程式「cheating stories」的排名在 3 個月內大幅上升。

搜尋引擎透過特定的演算法決定網頁排名、對網頁編製索引，因此，重新導向到網頁應用程式的連結點擊數與聲譽會影響排名的順序。SEO 攻擊者創造一連串導向偷情故事網的外部連結，並假裝是正常網頁內容，以影響搜尋引擎的演算。

Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示：「對於攻擊者來說，能操控網頁排名是極誘人的提議及行為。成功的話，攻擊者就能影響使用網路的公司及組織，對其營收和最重要的商譽造成衝擊。」

緩解

這些攻擊活動顯示出攻擊者精通搜尋引擎的操作，因此威脅研究推薦以下防禦技術：

針對網頁應用程式開發者

• 確保使用者所提供且後端資料庫會用到的資料，都已通過適當的驗證檢查。
  參照位址：https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet
• 根據使用者提供之資料建構 SQL 查詢時，只使用參數化查詢的預備敘述。
  參照位址：https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

針對網頁應用程式防禦者

• 部署網頁應用程式防火牆（Web Application Firewall，WAF），以封鎖 SQL 注入攻擊
• 考慮剖析並監控 HTML 回應內容格式，協助判斷是否有明顯的變動，例如網頁連結數增多。