Communicator Web Access 面臨的威脅

工作階段固定攻擊

在工作階段固定攻擊中，攻擊者會在使用者與 Web 伺服器之間的工作階段建立之前，設定使用者的工作階段權杖。如此一來，攻擊者就取得了該工作階段 ID，而不需要在工作階段建立之後判斷該 ID。Communicator Web Access 的設計可將這個威脅減至最低。

劫持工作階段

劫持工作階段是指，攻擊者透過偵測網路上未加密的流量存取使用者的工作階段。Communicator Web Access 使用 SSL 做為用戶端和 Communicator Web Access 伺服器之間的預設通訊協定，可減少這類威脅的發生。

工作階段控制/雙重控制

工作階段控制是指，攻擊者嘗試假借使用者身分，利用使用者和 Web 應用程式之間已建立的工作階段執行命令。攻擊者透過傳送電子郵件給使用者，或是引誘使用者造訪專門開發來執行惡意程式碼的網站，進行此項控制。攻擊者可執行的命令包括開啟防火牆、刪除資料，以及在內部網路內執行其他命令。

Communicator Web Access 的設計可避免攻擊者使用這種方法，透過惡意網站控制使用者的 Communicator Web Access 工作階段。

跨網站指令碼 (CSS、XSS、插入程式碼)

跨網站指令碼攻擊 (有時稱為 CSS、XSS 或插入程式碼攻擊) 是指，攻擊者使用 Web 應用程式傳送惡意程式碼給目標使用者，通常是以指令碼的形式傳送。目標使用者的瀏覽器無法偵測出不應信任該指令碼，而且會執行該指令碼。當惡意指令碼執行時，就可以存取 Cookie、工作階段權杖，或是使用者瀏覽器保存的其他機密資訊。這類指令碼也可以改寫 HTML 網頁的內容。

跨網站指令碼攻擊可以是儲存式或反映式。儲存式攻擊是指惡意指令碼永久儲存在受害的 Web 伺服器上，例如在資料庫、訊息論壇、造訪者記錄和意見欄位中。當使用者存取 Web 伺服器時，使用者的瀏覽器就會執行該指令碼。在反映式跨網站指令碼攻擊中，攻擊者會誘騙使用者按下連結或提交包含惡意程式碼的特製表單。當使用者按一下連結提交表單資料時，包含惡意程式碼的 URL 就會將使用者的資料傳送至 Web 伺服器。當網站對使用者顯示其資訊時，該資訊看起來會像是來自信任的來源。然而，該資訊包含惡意程式碼，並且會在使用者的電腦上執行。

這個弱點只會出現在未適當驗證使用者輸入的網站上。Communicator Web Access 使用強大的使用者輸入驗證來避免這個威脅。

權杖威脅

HTTP 是不需連線的通訊協定，且每個網頁都需要多個伺服器要求和回應來完成該網頁。在工作階段進行期間，網頁要求之間會採用各種不同的方法來維護工作階段持續性。Web 伺服器使用的其中一種方法是核發權杖給提出要求的用戶端瀏覽器。這正是 Communicator Web Access 使用的方法。

Communicator Web Access 伺服器成功驗證內部或外部使用者之後，就會核發權杖至工作階段 Cookie，該 Cookie 會傳回用戶端。這個 Cookie 是用來存取伺服器的單一工作階段。因此，用戶端必須接受來自 Communicator Web Access Server 的 Cookie，才能正常運作。攻擊者可能竊取並重複使用這個權杖。Communicator Web Access 僅核發工作階段 Cookie，使用 SSL (啟用時) 傳輸權杖，在工作階段結束時清除權杖，並且在用戶端閒置一段時間後使權杖過期，藉此降低權杖威脅。

權杖偵測

權杖偵測 (Token Ping) 也稱為權杖持續作用 (Token Keep-Alive)，是指驗證的使用者重複傳送要求給 Web 伺服器以阻止工作階段過期，工作階段權杖也因此不會過期。權杖偵測攻擊可視為一項威脅，因為它會避開伺服器內建的逾時邏輯。然而，此威脅層級較低，因為使用者必須先經過驗證。

網路釣魚 (密碼釣魚)

網路釣魚使用詐騙法，是一種攔截式攻擊。未經授權的攻擊者嘗試偽裝成經授權擁有該資訊的實體，向使用者取得資訊。攻擊者通常會誘騙使用者在假網站、Web 表單或電子郵件訊息中輸入密碼或帳號，藉此取得資訊。您應當教導使用者有關攻擊者取得個人資訊所使用的方法。