
OWASP Top 10:你最需要注意的檔案傳輸漏洞清單
小心這10個數位罪犯,這些都是來自於開放網頁應用程式安全專案(Open Web Application Security Project)的危險。MOVEit Cloud 網路應用程式防火牆(WAF)的功能能夠協助將它們繩之以法。
在網路安全威脅的陰暗世界中,某些罪犯因其堅持不懈的行為、創造力以及對系統造成的重大損害而格外引人注目。開放網路應用安全專案(Open Web Application Security Project, OWASP)追蹤這些臭名昭著的數位罪犯,並發布他們的「十大最受追緝名單」,以提醒組織注意潛藏在網路應用程式黑暗面中的危險。
對於負責安全檔案傳輸的人來說,這些網路犯罪分子帶來了特別嚴重的威脅。你的檔案傳輸系統是主要的攻擊目標,因為它們處理著對這些數位強盜來說非常有價值的敏感資料。今天我們將介紹每一位這些臭名昭著角色,並告訴你新推出的 MOVEit Cloud Web Application Firewall (WAF) 功能如何幫助將他們繩之以法。
讓我們深入了解網路應用程式安全威脅的惡棍畫廊。

🚨 犯罪類型 #1: 存取控制漏洞 🚨
別名:特權提升、未授權存取、強制瀏覽
犯罪紀錄:在2021年,這個漏洞升遷至最受重視的第一名。雖然OWASP對94%的應用程式進行了測試,但實際上只有3.81%的應用程式平均存在這個漏洞。然而,這個漏洞在數據集中出現的次數最多,超過318,000次,造成每年數十億的數位盜竊損失。
M.O.: 破損的存取控制 利用應用程式在限制授權用戶權限上的漏洞。它繞過應該限制誰可以查看、修改或刪除資料的規則。這種犯罪行為忽視了“限制存取”標示,自由闖入包含敏感資訊的區域。
最後出現: 偷偷越過檔案傳輸權限,進入其他使用者的檔案。曾被發現操縱URL參數,以在未經身份驗證的情況下存取安全檔案。
檔案傳輸的威脅:這個犯罪分子可以繞過你的檔案傳輸安全措施,以查看、下載、修改或刪除其他人的檔案。它還能操控授權令牌,偽裝成其他使用者或訪問管理功能。
逮捕紀錄:MOVEit Cloud WAF 功能建立嚴格的檢查點,以便在行動中捕捉這名罪犯。它透過以下方式加強正確的存取控制:
- 過濾可疑的 URL 操作嘗試
- 阻擋繞過身份驗證的嘗試
- 防止未經授權的 API 存取嘗試
- 強制執行正確的會話管理
🚨 犯罪者 #2: 加密失敗 🚨
別名:敏感資料外洩、資料違規啟用者、加密規避者
報告摘要:之前稱為「敏感資料暴露」,加密失敗是透過利用弱或缺失的加密技術,最終暴露出敏感資訊。
M.O.:這位精明的罪犯專門針對無法正確加密敏感資料的應用程式。他在系統傳輸明文資料、使用過時的加密演算法或不當存放加密金鑰時,便會大展身手。
最後出現:攔截公共 Wi-Fi 網路上的未加密檔案傳輸。常常潛伏在使用過時的 SSL/TLS 協議的系統中,並竊取以明文傳輸的認證資料。
檔案傳輸的威脅:對於檔案傳輸系統來說,這名罪犯可能在傳輸過程中曝光檔案內容,洩漏儲存的憑證,並洩露關於誰與誰分享什麼的元數據。
逮捕紀錄:MOVEit Cloud透過多重防禦措施來減輕這個威脅:
- 檔案的加密,無論是靜態還是在傳輸過程中
- 支援 TLS 1.3
- 安全的加密金鑰管理實作
- 經審計認證的 PCI-DSS 和 HIPAA 合規實作
- 定期安全更新,以解決新興的加密漏洞
🚨 犯罪者 #3: 注射 🚨
別名:SQL 注入、XSS(跨站腳本攻擊)、命令注入、CRLF 注入
犯罪紀錄:作為一名長期的違法者,Injection 這項罪行已經從第一位下降到第三位,但仍然極其危險。這個罪犯如今包含了各種注入技術,其中最臭名昭彰的就是跨網站腳本攻擊(Cross-Site Scripting, XSS)。
M.O.:注入技術透過竊取受信任的通道中的惡意程式碼進行走私。它使應用程式誤以為執行未經授權的命令是正常的使用者輸入資料,藉此利用不良的輸入驗證。
最近被發現:將惡意的 SQL 插入檔案的元資料欄位,以提取使用者憑證。在檔名欄位注入標籤,當管理員查看檔案列表時執行未經授權的 JavaScript。<
檔案傳輸的威脅:檔案傳輸系統經常處理元資料、檔案名稱、使用者資料及配置選項──這些都是注入攻擊的主要目標。成功的攻擊可能會操控資料、竊取憑證,甚至在伺服器上執行指令。
逮捕記錄:MOVEit Cloud WAF 對於注入攻擊特別有效,其具備:
- 使用靈活且通用的保護機制來檢測異常行為
- 專門設計的 ModSecurity 規則,用以識別注入模式
- 對 HTTPS 流量進行實時過濾,以在攻擊到達應用程式之前阻止注入嘗試
🚨 犯罪者 #4: 不安全的設計 🚨
別名:架構缺陷、設計缺陷、安全盲點
罪犯紀錄: 這位新加入的頭號通緝犯專注於基本設計缺陷,而非執行階段的錯誤。
M.O.: 與其他利用程式錯誤的網路犯罪分子不同,不安全的設計(Insecure Design) 目標是從概念層面入手,針對安全架構的缺陷。它尋找那些在一開始並沒有將安全性納入設計,而是事後才加上去的系統。
最後被發現:利用檔案傳輸系統中安全控制措施不一致的特性,留下了防護的空白。
檔案傳輸的威脅:設計不安全的檔案傳輸系統可能讓使用者繞過工作流程批准,缺乏在多租戶環境中適當的隔離,或未能有效實施深入防禦策略。
逮捕紀錄:MOVEit Cloud 以安全性為核心打造:
- 多層安全防護架構
- 經過第三方測試以識別潛在的設計弱點
- 符合合規要求的配置
- 將WAF作為安全架構的核心部分實施,而不僅僅是附加解決方案
🚨 犯罪 #5: 安全配置錯誤 🚨
別名:預設設定、不必要功能、不當加固
犯罪紀錄: 這位多產的罪犯在2021年躍升至第五位。OWASP對90%的應用程式進行了此漏洞的測試,平均在4.5%的應用程式中發現了該漏洞,資料集中出現了超過208,000次的紀錄。
M.O.: 安全設置錯誤利用了人為失誤和便利性。它針對預設安裝、未關閉的多餘功能、不完整的設置以及過多資訊的錯誤訊息。
最後出現:利用預設管理員憑證、過時的程式庫以及在生產環境中啟用的除錯模式來攻擊檔案傳輸伺服器。
檔案傳輸的威脅:檔案傳輸系統如果存在安全配置不當的情況,可能會暴露敏感的錯誤詳情,使用預設的帳號密碼,啟用不必要的功能,從而擴大攻擊面,或是缺乏適當的加固措施。
逮捕記錄:MOVEit Cloud 的管理方式有助於減輕這項威脅,具體體現在:
- 由 Progress 的安全專業人員進行專業配置與加固
- 符合合規要求的預設安全設定
- 定期進行配置審查與更新
- WAF 規則以偵測並協助阻止企圖利用常見配置錯誤的攻擊
別名:相依性利用、舊版責任、修補延遲
犯罪紀錄:這名罪犯在2021年從 第9名上升至第6名,專門利用那些未能維護其軟體相依性的組織。
M.O.: 這位患者型犯罪者會等到常見程式庫和元件中的漏洞被發現。一旦漏洞公開,他就會針對尚未更新的系統,利用已知的安全缺陷進行攻擊。
最後出現: 利用過時的檔案傳輸插件、未修補的開源函式庫以及有已知安全漏洞的被棄用依賴項。
檔案傳輸的威脅:檔案傳輸系統通常依賴多個元件來進行加密、壓縮、身份驗證以及其他功能。每個過時的元件都提供了一個被利用的機會。
逮捕紀錄:MOVEit Cloud 提供持續的支援方式:
- 由 Progress 定期更新的元件
- 對所有相依性進行自動化的漏洞掃描
- 當發現漏洞時,迅速部署修補程式
- 擁有超過 100 位高聲譽研究者的漏洞賞金計畫
- 靈活且通用的 WAF 規則,可以在應用修補程式之前協助減緩某些元件的漏洞
🚨 犯罪 #7: 身分認證與驗證失敗 🚨
別名: 錯誤的認證、憑證填充、會話接管
犯罪紀錄:之前被稱為「錯誤的身份驗證」,身份識別與身份驗證失敗 雖然從第 #2 名降到更低的位置,但仍然是個嚴重的威脅。
M.O.:這個身份盜竊者利用弱密碼、實作不良的身份驗證系統以及不安全的會話管理。他們使用盜取的憑證來獲取未授權的訪問權限。
最後出現:在檔案傳輸登入頁面進行憑證填充攻擊,透過跨網站腳本竊取會話令牌,並利用「記住我」的功能。
檔案傳輸的威脅: 身分驗證是保護您敏感檔案傳輸的第一道防線。一旦被駭,攻擊者可以冒充合法使用者,存取敏感檔案,甚至可能升級到管理權限。
逮捕紀錄:MOVEit Cloud 提供全面的支援,包括:
- 多重驗證選項
- Active Directory/LDAP 整合
- 單一登入功能
- WAF 監控 可偵測可疑的身份驗證模式並阻擋憑證填充攻擊
根據Progress的說法,這有助於組織加強安全性以及滿足各項合規要求。
🚨 罪犯 #8: 軟體與資料完整性失敗 🚨
別名:供應鏈攻擊、未簽署的程式碼、不安全的CI/CD
前科紀錄:近期加入十大通緝名單的對象,專注於確保其程式碼和數據在整個生命周期中的完整性。
M.O.: 這個破壞者的目標是軟體供應鏈,尋找機會將惡意程式碼插入受信任的應用程式或更新中。當組織未能驗證程式碼和數據的完整性時,它就會如魚得水。
最後被發現:透過破壞更新機制來傳遞惡意載荷、因為缺少完整性檢查而竄改傳輸中的數據,以及利用未簽名的程式碼進行攻擊。
檔案傳輸的威脅:那些未能驗證傳輸檔案或系統更新完整性的檔案傳輸系統,容易受到竄改的攻擊,這可能導致資料被盜取或系統遭到破壞。
逮捕記錄:MOVEit Cloud 透過嚴格的完整性控制來維護:
- 檔案完整性檢查
- WAF 監控系統元件是否有遭到篡改的跡象
- 用戶帳號類型及隨需應變的檔案共享選項,以促進更安全的合作
- 加密的可偵測篡改日誌記錄
🚨 刑事事件 #9:安全日誌與監控失敗 🚨
別名: 盲點、稽核不足、檢測延遲
犯罪紀錄: 之前被稱為「日誌及監控不足」, 這名罪犯專門在陰影中活動,無法被發現。
M.O.: 這名神秘的嫌疑犯善於隱身。它專門針對那些日誌記錄、監控以及事件回應能力不足的系統,使其他攻擊能夠在不被察覺的情況下進行。
最後出現: 在檔案外洩過程中關閉日誌系統,利用監控空檔進行攻擊,以及利用缺乏對可疑檔案存取模式警報的系統。
檔案傳輸的威脅:如果沒有適當的日誌記錄和監控,未經授權的存取檔案系統可能會在數個月內未被發現。到了發現資料外洩的時候,敏感資料可能早已遺失。
逮捕紀錄:MOVEit Cloud 實施全面的監控,包括:
- 可防篡改的所有檔案活動記錄
- 為遵循法規和取證目的保留日誌
- 檔案送達、未送達等情況的自訂通知
- 訪問控制和使用者身份驗證
別名:伺服器代理、內部網路曝光者、雲端 metadata 濫用者
犯罪紀錄:最新加入OWASP Top 10的SSRF,在雲端環境中變得愈發危險。
M.O.:這個詭計多端的角色操控伺服器,讓它們向本不應從外部存取的內部資源發出意想不到的請求。它濫用受信伺服器的功能以達成對受限系統的存取。
最後出現:強迫檔案傳輸伺服器連接至內部網路資源,訪問雲端服務商的元數據服務以竊取憑證,以及訪問未對外網路公開的管理介面。
檔案傳輸的威脅:基於使用者輸入而提取遠端資源的檔案傳輸系統可能會被利用,進而訪問內部系統或洩漏敏感資料。
逮捕紀錄:這個 MOVEit Cloud WAF 提供了專門的保護,包括:
- 偵測未知的、非域名的 URL 注入
- HTTP 標頭過濾以防止請求標頭被篡改
- 定期測試 SSRF 漏洞
公民安全指南:辨識與舉報可疑活動
當 MOVEit Cloud WAF 在努力逮捕這些數位罪犯時,保持警覺的用戶在安全生態系統中扮演著重要角色。以下是你可以幫助確保檔案傳輸安全的方法:
- 注意異常的檔案活動:檔案權限的意外變更、奇怪的新檔案或檔案消失,可能表示發生安全漏洞。
- 對不尋常的登入模式保持懷疑:在異常時間或來自意外地點的登入嘗試,可能表示憑證被盜用。
- 回報錯誤訊息:透露系統資訊的詳細錯誤訊息應該向管理員報告。
- 注意效能表現:突然的緩慢或資源使用激增可能表示正在進行攻擊。
- 確認敏感檔案的電子郵件請求:在傳送敏感資料之前,透過不同的管道確認不尋常的檔案請求。
- 監控自動化工作流程:自動檔案傳輸任務的意外變更可能表示受到入侵。
- 檢查檔案完整性:如果檔案看起來損壞或被修改,應立即報告。
- 驗證安全憑證:在存取檔案傳輸系統時,對安全憑證警告保持警惕。
與專家攜手合作:MOVEit Cloud WAF
隨著最近新增的網路應用程式防火牆功能,MOVEit Cloud 現在提供了更強大的防禦能力,能夠抵禦 OWASP 十大威脅。這個防火牆是基於 ModSecurity engine 和開放原始碼規則集所建構,旨在在惡意網路流量入侵系統之前進行阻擋。
這項全新保護層由Progress專家全面管理,省去了維護獨立WAF服務的負擔,同時幫助組織滿足其安全和合規需求。
結合現有的 MOVEit Cloud 安全功能,包括加密、可防篡改的檔案活動日誌、存取控制和完整性檢查,WAF 功能為您組織中最敏感的檔案傳輸提供了強大的保護。
MOVEit Transfer MFT 伺服器的客戶也可以利用這項功能與 MOVEit WAF,於2025年7月推出。成為首批嘗試這款專為 MOVEit Transfer 本地部署而打造的全功能 WAF 及負載平衡解決方案的用戶。
不要讓你的檔案傳輸成為這些網路安全罪犯的犧牲品。使用 MOVEit Cloud,你將與專家合作,將 OWASP 十大最想要的罪犯關押起來,遠離你的重要資料。
文章來源: The OWASP Top 10: Your File Transfer’s Most Wanted List
小心這10個數位罪犯,這些都是來自於開放網頁應用程式安全專案(Open Web Application Security Project)的危險。MOVEit Cloud 網路應用程式防火牆(WAF)的功能能夠協助將它們繩之以法。
在網路安全威脅的陰暗世界中,某些罪犯因其堅持不懈的行為、創造力以及對系統造成的重大損害而格外引人注目。開放網路應用安全專案(Open Web Application Security Project, OWASP)追蹤這些臭名昭著的數位罪犯,並發布他們的「十大最受追緝名單」,以提醒組織注意潛藏在網路應用程式黑暗面中的危險。
對於負責安全檔案傳輸的人來說,這些網路犯罪分子帶來了特別嚴重的威脅。你的檔案傳輸系統是主要的攻擊目標,因為它們處理著對這些數位強盜來說非常有價值的敏感資料。今天我們將介紹每一位這些臭名昭著角色,並告訴你新推出的 MOVEit Cloud Web Application Firewall (WAF) 功能如何幫助將他們繩之以法。
讓我們深入了解網路應用程式安全威脅的惡棍畫廊。
🚨 犯罪類型 #1: 存取控制漏洞 🚨
別名:特權提升、未授權存取、強制瀏覽
犯罪紀錄:在2021年,這個漏洞升遷至最受重視的第一名。雖然OWASP對94%的應用程式進行了測試,但實際上只有3.81%的應用程式平均存在這個漏洞。然而,這個漏洞在數據集中出現的次數最多,超過318,000次,造成每年數十億的數位盜竊損失。
M.O.: 破損的存取控制 利用應用程式在限制授權用戶權限上的漏洞。它繞過應該限制誰可以查看、修改或刪除資料的規則。這種犯罪行為忽視了“限制存取”標示,自由闖入包含敏感資訊的區域。
最後出現: 偷偷越過檔案傳輸權限,進入其他使用者的檔案。曾被發現操縱URL參數,以在未經身份驗證的情況下存取安全檔案。
檔案傳輸的威脅:這個犯罪分子可以繞過你的檔案傳輸安全措施,以查看、下載、修改或刪除其他人的檔案。它還能操控授權令牌,偽裝成其他使用者或訪問管理功能。
逮捕紀錄:MOVEit Cloud WAF 功能建立嚴格的檢查點,以便在行動中捕捉這名罪犯。它透過以下方式加強正確的存取控制:
- 過濾可疑的 URL 操作嘗試
- 阻擋繞過身份驗證的嘗試
- 防止未經授權的 API 存取嘗試
- 強制執行正確的會話管理
🚨 犯罪者 #2: 加密失敗 🚨
別名:敏感資料外洩、資料違規啟用者、加密規避者
報告摘要:之前稱為「敏感資料暴露」,加密失敗是透過利用弱或缺失的加密技術,最終暴露出敏感資訊。
M.O.:這位精明的罪犯專門針對無法正確加密敏感資料的應用程式。他在系統傳輸明文資料、使用過時的加密演算法或不當存放加密金鑰時,便會大展身手。
最後出現:攔截公共 Wi-Fi 網路上的未加密檔案傳輸。常常潛伏在使用過時的 SSL/TLS 協議的系統中,並竊取以明文傳輸的認證資料。
檔案傳輸的威脅:對於檔案傳輸系統來說,這名罪犯可能在傳輸過程中曝光檔案內容,洩漏儲存的憑證,並洩露關於誰與誰分享什麼的元數據。
逮捕紀錄:MOVEit Cloud透過多重防禦措施來減輕這個威脅:
- 檔案的加密,無論是靜態還是在傳輸過程中
- 支援 TLS 1.3
- 安全的加密金鑰管理實作
- 經審計認證的 PCI-DSS 和 HIPAA 合規實作
- 定期安全更新,以解決新興的加密漏洞
🚨 犯罪者 #3: 注射 🚨
別名:SQL 注入、XSS(跨站腳本攻擊)、命令注入、CRLF 注入
犯罪紀錄:作為一名長期的違法者,Injection 這項罪行已經從第一位下降到第三位,但仍然極其危險。這個罪犯如今包含了各種注入技術,其中最臭名昭彰的就是跨網站腳本攻擊(Cross-Site Scripting, XSS)。
M.O.:注入技術透過竊取受信任的通道中的惡意程式碼進行走私。它使應用程式誤以為執行未經授權的命令是正常的使用者輸入資料,藉此利用不良的輸入驗證。
最近被發現:將惡意的 SQL 插入檔案的元資料欄位,以提取使用者憑證。在檔名欄位注入標籤,當管理員查看檔案列表時執行未經授權的 JavaScript。
<檔案傳輸的威脅:檔案傳輸系統經常處理元資料、檔案名稱、使用者資料及配置選項──這些都是注入攻擊的主要目標。成功的攻擊可能會操控資料、竊取憑證,甚至在伺服器上執行指令。
逮捕記錄:MOVEit Cloud WAF 對於注入攻擊特別有效,其具備:
- 使用靈活且通用的保護機制來檢測異常行為
- 專門設計的 ModSecurity 規則,用以識別注入模式
- 對 HTTPS 流量進行實時過濾,以在攻擊到達應用程式之前阻止注入嘗試
🚨 犯罪者 #4: 不安全的設計 🚨
別名:架構缺陷、設計缺陷、安全盲點
罪犯紀錄: 這位新加入的頭號通緝犯專注於基本設計缺陷,而非執行階段的錯誤。
M.O.: 與其他利用程式錯誤的網路犯罪分子不同,不安全的設計(Insecure Design) 目標是從概念層面入手,針對安全架構的缺陷。它尋找那些在一開始並沒有將安全性納入設計,而是事後才加上去的系統。
最後被發現:利用檔案傳輸系統中安全控制措施不一致的特性,留下了防護的空白。
檔案傳輸的威脅:設計不安全的檔案傳輸系統可能讓使用者繞過工作流程批准,缺乏在多租戶環境中適當的隔離,或未能有效實施深入防禦策略。
逮捕紀錄:MOVEit Cloud 以安全性為核心打造:
- 多層安全防護架構
- 經過第三方測試以識別潛在的設計弱點
- 符合合規要求的配置
- 將WAF作為安全架構的核心部分實施,而不僅僅是附加解決方案
🚨 犯罪 #5: 安全配置錯誤 🚨
別名:預設設定、不必要功能、不當加固
犯罪紀錄: 這位多產的罪犯在2021年躍升至第五位。OWASP對90%的應用程式進行了此漏洞的測試,平均在4.5%的應用程式中發現了該漏洞,資料集中出現了超過208,000次的紀錄。
M.O.: 安全設置錯誤利用了人為失誤和便利性。它針對預設安裝、未關閉的多餘功能、不完整的設置以及過多資訊的錯誤訊息。
最後出現:利用預設管理員憑證、過時的程式庫以及在生產環境中啟用的除錯模式來攻擊檔案傳輸伺服器。
檔案傳輸的威脅:檔案傳輸系統如果存在安全配置不當的情況,可能會暴露敏感的錯誤詳情,使用預設的帳號密碼,啟用不必要的功能,從而擴大攻擊面,或是缺乏適當的加固措施。
逮捕記錄:MOVEit Cloud 的管理方式有助於減輕這項威脅,具體體現在:
- 由 Progress 的安全專業人員進行專業配置與加固
- 符合合規要求的預設安全設定
- 定期進行配置審查與更新
- WAF 規則以偵測並協助阻止企圖利用常見配置錯誤的攻擊
別名:相依性利用、舊版責任、修補延遲
犯罪紀錄:這名罪犯在2021年從 第9名上升至第6名,專門利用那些未能維護其軟體相依性的組織。
M.O.: 這位患者型犯罪者會等到常見程式庫和元件中的漏洞被發現。一旦漏洞公開,他就會針對尚未更新的系統,利用已知的安全缺陷進行攻擊。
最後出現: 利用過時的檔案傳輸插件、未修補的開源函式庫以及有已知安全漏洞的被棄用依賴項。
檔案傳輸的威脅:檔案傳輸系統通常依賴多個元件來進行加密、壓縮、身份驗證以及其他功能。每個過時的元件都提供了一個被利用的機會。
逮捕紀錄:MOVEit Cloud 提供持續的支援方式:
- 由 Progress 定期更新的元件
- 對所有相依性進行自動化的漏洞掃描
- 當發現漏洞時,迅速部署修補程式
- 擁有超過 100 位高聲譽研究者的漏洞賞金計畫
- 靈活且通用的 WAF 規則,可以在應用修補程式之前協助減緩某些元件的漏洞
🚨 犯罪 #7: 身分認證與驗證失敗 🚨
別名: 錯誤的認證、憑證填充、會話接管
犯罪紀錄:之前被稱為「錯誤的身份驗證」,身份識別與身份驗證失敗 雖然從第 #2 名降到更低的位置,但仍然是個嚴重的威脅。
M.O.:這個身份盜竊者利用弱密碼、實作不良的身份驗證系統以及不安全的會話管理。他們使用盜取的憑證來獲取未授權的訪問權限。
最後出現:在檔案傳輸登入頁面進行憑證填充攻擊,透過跨網站腳本竊取會話令牌,並利用「記住我」的功能。
檔案傳輸的威脅: 身分驗證是保護您敏感檔案傳輸的第一道防線。一旦被駭,攻擊者可以冒充合法使用者,存取敏感檔案,甚至可能升級到管理權限。
逮捕紀錄:MOVEit Cloud 提供全面的支援,包括:
- 多重驗證選項
- Active Directory/LDAP 整合
- 單一登入功能
- WAF 監控 可偵測可疑的身份驗證模式並阻擋憑證填充攻擊
根據Progress的說法,這有助於組織加強安全性以及滿足各項合規要求。
🚨 罪犯 #8: 軟體與資料完整性失敗 🚨
別名:供應鏈攻擊、未簽署的程式碼、不安全的CI/CD
前科紀錄:近期加入十大通緝名單的對象,專注於確保其程式碼和數據在整個生命周期中的完整性。
M.O.: 這個破壞者的目標是軟體供應鏈,尋找機會將惡意程式碼插入受信任的應用程式或更新中。當組織未能驗證程式碼和數據的完整性時,它就會如魚得水。
最後被發現:透過破壞更新機制來傳遞惡意載荷、因為缺少完整性檢查而竄改傳輸中的數據,以及利用未簽名的程式碼進行攻擊。
檔案傳輸的威脅:那些未能驗證傳輸檔案或系統更新完整性的檔案傳輸系統,容易受到竄改的攻擊,這可能導致資料被盜取或系統遭到破壞。
逮捕記錄:MOVEit Cloud 透過嚴格的完整性控制來維護:
- 檔案完整性檢查
- WAF 監控系統元件是否有遭到篡改的跡象
- 用戶帳號類型及隨需應變的檔案共享選項,以促進更安全的合作
- 加密的可偵測篡改日誌記錄
🚨 刑事事件 #9:安全日誌與監控失敗 🚨
別名: 盲點、稽核不足、檢測延遲
犯罪紀錄: 之前被稱為「日誌及監控不足」, 這名罪犯專門在陰影中活動,無法被發現。
M.O.: 這名神秘的嫌疑犯善於隱身。它專門針對那些日誌記錄、監控以及事件回應能力不足的系統,使其他攻擊能夠在不被察覺的情況下進行。
最後出現: 在檔案外洩過程中關閉日誌系統,利用監控空檔進行攻擊,以及利用缺乏對可疑檔案存取模式警報的系統。
檔案傳輸的威脅:如果沒有適當的日誌記錄和監控,未經授權的存取檔案系統可能會在數個月內未被發現。到了發現資料外洩的時候,敏感資料可能早已遺失。
逮捕紀錄:MOVEit Cloud 實施全面的監控,包括:
- 可防篡改的所有檔案活動記錄
- 為遵循法規和取證目的保留日誌
- 檔案送達、未送達等情況的自訂通知
- 訪問控制和使用者身份驗證
別名:伺服器代理、內部網路曝光者、雲端 metadata 濫用者
犯罪紀錄:最新加入OWASP Top 10的SSRF,在雲端環境中變得愈發危險。
M.O.:這個詭計多端的角色操控伺服器,讓它們向本不應從外部存取的內部資源發出意想不到的請求。它濫用受信伺服器的功能以達成對受限系統的存取。
最後出現:強迫檔案傳輸伺服器連接至內部網路資源,訪問雲端服務商的元數據服務以竊取憑證,以及訪問未對外網路公開的管理介面。
檔案傳輸的威脅:基於使用者輸入而提取遠端資源的檔案傳輸系統可能會被利用,進而訪問內部系統或洩漏敏感資料。
逮捕紀錄:這個 MOVEit Cloud WAF 提供了專門的保護,包括:
- 偵測未知的、非域名的 URL 注入
- HTTP 標頭過濾以防止請求標頭被篡改
- 定期測試 SSRF 漏洞
公民安全指南:辨識與舉報可疑活動
當 MOVEit Cloud WAF 在努力逮捕這些數位罪犯時,保持警覺的用戶在安全生態系統中扮演著重要角色。以下是你可以幫助確保檔案傳輸安全的方法:
- 注意異常的檔案活動:檔案權限的意外變更、奇怪的新檔案或檔案消失,可能表示發生安全漏洞。
- 對不尋常的登入模式保持懷疑:在異常時間或來自意外地點的登入嘗試,可能表示憑證被盜用。
- 回報錯誤訊息:透露系統資訊的詳細錯誤訊息應該向管理員報告。
- 注意效能表現:突然的緩慢或資源使用激增可能表示正在進行攻擊。
- 確認敏感檔案的電子郵件請求:在傳送敏感資料之前,透過不同的管道確認不尋常的檔案請求。
- 監控自動化工作流程:自動檔案傳輸任務的意外變更可能表示受到入侵。
- 檢查檔案完整性:如果檔案看起來損壞或被修改,應立即報告。
- 驗證安全憑證:在存取檔案傳輸系統時,對安全憑證警告保持警惕。
與專家攜手合作:MOVEit Cloud WAF
隨著最近新增的網路應用程式防火牆功能,MOVEit Cloud 現在提供了更強大的防禦能力,能夠抵禦 OWASP 十大威脅。這個防火牆是基於 ModSecurity engine 和開放原始碼規則集所建構,旨在在惡意網路流量入侵系統之前進行阻擋。
這項全新保護層由Progress專家全面管理,省去了維護獨立WAF服務的負擔,同時幫助組織滿足其安全和合規需求。
結合現有的 MOVEit Cloud 安全功能,包括加密、可防篡改的檔案活動日誌、存取控制和完整性檢查,WAF 功能為您組織中最敏感的檔案傳輸提供了強大的保護。
MOVEit Transfer MFT 伺服器的客戶也可以利用這項功能與 MOVEit WAF,於2025年7月推出。成為首批嘗試這款專為 MOVEit Transfer 本地部署而打造的全功能 WAF 及負載平衡解決方案的用戶。
不要讓你的檔案傳輸成為這些網路安全罪犯的犧牲品。使用 MOVEit Cloud,你將與專家合作,將 OWASP 十大最想要的罪犯關押起來,遠離你的重要資料。



