国税局网站爆发严重资安问题,资安顾问公司 DEVCORE 首席执行官 Allen Own 在脸书上贴了一张照片,里面可以清楚地发现,国税局的“快客利”网站源代码中,清楚地标出了验证码的字母。
这状况发生在国税局的“快客利”服务中,该服务原本是为了方便民众申请所得税单而设计,但这种错误等于为骇客大开方便之门,恐有骇客可借此漏洞,以暴力破解攻击获得他人相关资料。
资安专家 Zero 接受科技新报采访时表示:“验证码的用意主要是用来防止网络上的BOT自动注册、骇客尝试暴力破解密码等攻击,让验证码出现在网页原码内对攻击者而言真的是非常友善的,应尽可能避免。”
DEVCORE网站:http://devco.re/
国税局“快客利”网站:http://www.ntbna.gov.tw/etwmain/front/ETW139W/new
首页图片来源:Business Insider 以及 Allen Own 脸书
