本季漏洞通報統計顯示，市面常見系統與軟體產品仍以「輸入驗證不足」為主要安全問題來源，同時於身分鑑別、授權機制及系統設定等面向，亦持續存在一定程度之資安風險。
為進一步了解漏洞分布情形，TWCERT/CC TVN平台公告共計51筆漏洞，依其成因可進一步歸納為四大類別，包含輸入驗證、身分鑑別與授權、設定與環境及記憶體破壞
。 
一、輸入驗證為主要漏洞類型(占比62.7%)
       此類別漏洞占總數超過六成，顯示多數系統開發時，尚未建立完善之驗證與過濾機制，無法有效過濾或驗證使用者輸入的資料。
       路徑遍歷(Path Traversal)與SQL注入(SQL Injection)各6件，為最主要類型，顯示檔案路徑與資料庫操作相關參數未妥善控管，易遭攻擊者利用以存取敏感資訊或竄改資料內容。
       任意檔案上傳(Arbitrary File Upload)共5件，若未妥善檢查檔案內容與副檔名，可能導致攻擊者上傳後門程式，進而取得伺服器控制權，風險相對較高。
       整體而言，輸入驗證不足仍為多數應用系統最基礎且關鍵之資安弱點。

防護建議：
應採用「預設拒絕」原則，僅允許符合預期格式之輸入資料，防止任何非預期的輸入。 
使用參數化查詢機制，以降低SQL Injection風險。

二、身分管理機制不健全(占比27.4%)
       此類別漏洞主要集中在缺乏身分鑑別(Missing Authentication)類型，共計8件，占此類漏洞之多數。
       身分鑑別包含管理介面、API及內部功能，即使管理介面已設置身分驗證機制，若驗證流程設計不佳，仍可能遭攻擊者透過不同面向繞過驗證檢查，進而直接存取特定功能。
       授權管理亦為重要環節，包含不當授權(Incorrect Authorization)、缺乏授權(Missing Authorization)及本機提權(Local Privilege Escalation)等類型，共計4件。此類漏洞可能導致攻擊者提升權限，進而存取機敏資訊或遠端執行任意程式碼。
       整體而言，此類問題多源於系統功能設計未完整考量權限邊界，或驗證邏輯存在缺陷。

防護建議：
落實最小權限原則，確保每個帳號僅有執行任務所需之最小權限。
確保每項功能僅有對應權限帳號可以存取，並停用不必要之帳號。

三、設定與環境管理不當(占比7.9%)
       此類漏洞多與系統部署與設定管理不當有關，通常因開發者為了便利或減少開發成本而導致，常見情境包括使用預設設定、未加密或儲存機敏資料，或直接採用第三方套件而未根據自身環境進行適當安全設定與調整等。
       上述問題多非技術困難所致，而是源於安全設定與管理機制未落實所導致。

防護建議：
嚴禁將金鑰、通行碼寫在程式碼或設定檔中，並避免使用預設密碼。
建立軟體清單(SBOM)，定期比對已知漏洞公告(CVE)，並及時更新第三方函式庫。
確保所有機敏資訊於儲存與傳輸之過程中，皆採取加密或其他適當措施。

四、記憶體使用不嚴謹(占比2%)
此類漏洞成因為記憶體操作未妥善控管邊界，導致實際使用超出原配置範圍，進而影響到其他記憶體空間，嚴重時可能造成程式執行流程異常或遭惡意控制。
此類漏洞比例雖低，惟一旦被利用，可能對系統穩定性與安全性造成重大影響，仍需謹慎因應。

防護建議：
       建議確保開啟編譯器安全防護功能，如位址空間配置隨機化(ASLR)、資料執行防止(DEP/NX)及堆疊金絲雀(Stack Canaries)。
採用相對安全版本之記憶體操作函式，請勿使用舊版函式。
妥善限制輸入的資料大小，以防超過配置之記憶體空間。

五、結語
       本次統計數據顯示，我國市面系統與軟體產品廠商在「輸入驗證」與「身分鑑別與授權機制」等基礎安全面向，仍有明顯的改善空間，相關問題多屬開發與設定階段即可預防之類型，顯示基礎資安實務尚未全面落實。

資料來源：國家資通安全研究院資安週報重點節錄