前言 
網路攻防演練；遠端模擬駭客⼊侵⼿法，檢測政府機關與所轄對外系統之資安防護
資安技術檢測；透過現場訪談與實測，檢視政府機關資安防護措施落實程度

網路攻防演練重要結果
不安全的組態設定
• 透過路徑掃描⼯具發現⽬錄瀏覽功能⾴⾯
• 繞過檔案上傳格式限制
• 透過網⾴原始碼取得未經控管之⾦鑰
 • 取得系統或OS管理權限
 • 遭植⼊後⾨程式
注⼊攻擊
• 跨網站腳本攻擊 • SQL Injection攻擊
• 竊取使⽤者資訊 • 資料庫資訊外洩
加密機制失效
透過Adobe Reader複製圖⽚取得未遮罩之原始圖⽚
• 取得⽂件或系統儲存之機敏資訊(如：個人資料)
無效的存取控管
利⽤封包攔截⼯具修改封包，取得帳號通⾏碼
透過目錄掃描或路徑猜測攻擊
• 取得系統管理權限或公開頁面修改權限 
• 取得系統儲存之機敏資訊(如：個⼈資料)
認證及驗證機制失效
• 使⽤預設之帳號通行碼登入
• 弱通⾏碼破解
• 透過系統手冊取得帳號通行碼資訊
• 取得系統管理權限 
• 取得系統儲存之機敏資訊(如：個人資料)
依據弱點類型，與113年類型相⽐之變化如下，其中不安全的組態設定、注入攻擊、加密機制失效及無效的存取控管比例最⾼
網路攻防演練發現與建議 
Index of⾴⾯⽽洩漏檔案結構，應停用目錄瀏覽功能 – 上傳檔案之目錄須設定為不可執⾏(no-exec)
針對透過網頁上傳檔案之副檔名進⾏嚴格限制
Windows伺服器應安裝防毒軟體或EDR進⾏防護
對使⽤者輸⼊內容進⾏嚴格過濾
改以參數化形式傳值
應將敏感資訊確實遮蔽後再行放置於公開網⾴上
資安技術檢測發現與建議 
機關未確認惡意中繼站名單部署完整性與正確性，無法完全阻擋 使用者電腦對惡意中繼站連線，可能導致機敏資訊外洩
1. 網管人員應建立惡意中繼站名單部署與更新機制，並落實執行 
2. 網管人員應定期進行惡意中繼站連線阻擋測試，確認惡意中繼站名單部署完整性與有效性 
3. 機關使用外部GSN DNS解析時，仍應確實於IPS或防火牆部署惡意中繼站DNS名單
結論與建議
強化伺服器⽬錄存取防護 – 
網站伺服器應停⽤⽬錄瀏覽功能，避免出現「Index of」⾴⾯洩漏檔案結構，防⽌攻擊者藉此蒐集系統資訊並進⼀步攻擊
強化上傳驗證與內容檢查機制
應限制允許上傳之檔案類型與副檔名，並驗證MIME類型與內容⼀致性，防止惡意程式以偽裝檔案形式通過檢測。同時依最小權限原則設定帳號及目錄存取權限，以降低系統被入侵風險
強化資料庫傳輸加密設定
建議資料庫主機採⽤TLS 1.2(含)以上版本進⾏加密傳輸，並停⽤舊版協定與弱式加密套件，確保資料傳輸安全
強化通行碼防護政策
應建⽴完善通⾏碼管理規範，避免使⽤預設帳號或帳號密碼相同之設定，並加⼊登⼊錯誤次數限制、通⾏碼複雜度檢核與 驗證碼機制。同時避免系統顯⽰過多通行碼提⽰資訊，減少暴力破解或社交工程攻擊⾵險
落實執行安全性更新
資通系統與物聯網設備之作業系統、軟體及韌體應定期更新，並確保防毒軟體與應⽤程式維持最新版本，避免因版本過舊而遭已知弱點攻擊
定期執行防火牆規則檢視
應定期檢視防火牆規則，確保符合最新安全政策與業務需求，及時移除多餘或過期規則，降低誤開放與未授權存取風險

資料來源：114年網路攻防演練暨資安檢測 重要發現事項重點節錄