Lync Web App 的威脅

工作階段固定攻擊

在工作階段固定攻擊中，攻擊者會在使用者與 Web 伺服器之間的工作階段建立之前，設定使用者的工作階段權杖。如此一來，攻擊者就取得了該工作階段識別碼，而不需要在工作階段建立之後判斷該識別碼。Lync Web App 的設計可將此威脅減至最低。

劫持工作階段

劫持工作階段是指，攻擊者透過偵測網路上未加密的流量存取使用者的工作階段。Lync Web App 藉由使用 SSL 做為用戶端與 Lync Web App 之間預設的通訊協定，將此威脅減至最低。

工作階段控制/雙重控制

工作階段控制是指，攻擊者嘗試假借使用者身分，利用使用者和 Web 應用程式之間已建立的工作階段執行命令。攻擊者透過傳送電子郵件給使用者，或是引誘使用者造訪專門設計用來執行惡意軟體的網站，進行此項控制。攻擊者可執行的命令包括開啟防火牆、刪除資料，以及在內部網路內執行其他命令。

Lync Web App 的設計可避免攻擊者使用這種方法，透過惡意網站控制使用者的 Lync Web App 工作階段。

跨網站指令碼 (CSS、XSS、插入程式碼)

跨網站指令碼攻擊 (有時稱為 CSS、XSS 或插入程式碼攻擊) 是指，攻擊者使用 Web 應用程式傳送惡意軟體給目標使用者，通常是以指令碼的形式傳送。目標使用者的瀏覽器無法偵測出不應信任該指令碼，而且會執行該指令碼。當惡意指令碼執行時，就可以存取 Cookie、工作階段 Token，或是使用者瀏覽器保存的其他機密資訊。這類指令碼也可以改寫 HTML 網頁的內容。

跨網站指令碼攻擊可以是儲存式或反映式。儲存式攻擊是指惡意指令碼永久儲存在受害的 Web 伺服器上，例如在資料庫、訊息論壇、造訪者記錄和意見欄位中。當使用者存取 Web 伺服器時，使用者的瀏覽器就會執行該指令碼。在反映式跨網站指令碼攻擊中，攻擊者會誘騙使用者按下連結或提交包含惡意軟體的特製表單。當使用者按一下連結提交表單資料時，包含惡意軟體的 URL 就會將使用者的資料傳送至 Web 伺服器。當網站對使用者顯示其資訊時，該資訊看起來會像是來自信任的來源。然而，該資訊包含惡意軟體，並且會在使用者的電腦上執行。

這個安全性問題只會出現在未適當驗證使用者輸入的網站上。Lync Web App 使用強大的使用者輸入驗證來避免這個威脅。

Token 威脅

HTTP 是不需連線的通訊協定，且每個網頁都需要多個伺服器要求和回應來完成該網頁。在工作階段進行期間，網頁要求之間會採用各種不同的方法來維護工作階段持續性。Web 伺服器使用的其中一種方法是核發 Token 給提出要求的用戶端瀏覽器。

Lync Web App 伺服器成功驗證內部或外部使用者之後，就會核發 Token 至工作階段 Cookie，該 Cookie 會傳回用戶端。這個 Cookie 是用來存取伺服器的單一工作階段。因此，用戶端必須接受來自 Lync Web App 的 Cookie 才能正常運作。攻擊者可能竊取並重複使用這個 Token。Lync Web App 僅核發工作階段 Cookie，使用 SSL (啟用時) 傳輸 Token，在工作階段結束時清除 Token，並且在用戶端閒置一段時間後使 Token 過期，藉此降低 Token 威脅。

Token 偵測

Token 偵測 (Token Ping) 也稱為 Token 持續作用 (Token Keep-Alive)，是指驗證的使用者重複傳送要求給 Web 伺服器以阻止工作階段過期，工作階段 Token 也因此不會過期。Token 偵測攻擊可視為一項威脅，因為它會避開伺服器內建的逾時邏輯。然而，此威脅層級較低，因為使用者必須先經過驗證。

網路釣魚 (密碼釣魚)

網路釣魚使用詐騙法，是一種攔截式攻擊。未經授權的攻擊者嘗試偽裝成經授權擁有該資訊的實體，向使用者取得資訊。攻擊者通常會誘騙使用者在假網站、Web 表單或電子郵件訊息中輸入密碼或帳號，藉此取得資訊。您應當教導使用者有關攻擊者取得個人資訊所使用的方法。