📌 案例說明

某機關網站因設定錯誤，將使用者登入帳號與密碼以 GET 方法 透過網址傳送，導致敏感資訊以明文方式記錄於網站日誌中。該日誌又可被外部直接存取，致使攻擊者輕易取得帳密，成功登入系統並存取內部資料。
此外，於國家資通安全研究院之網路攻防演練中，亦發現多個機關網站存在 不安全組態，如外部可直接存取 phpinfo、.htaccess、web.config 等檔案，可能洩露系統架構、目錄路徑、使用版本及存取控制等敏感資訊，增加被攻擊風險。

⚠️ 問題說明

• 網站傳輸帳密未加密，導致資訊可被攔截或外洩。
• 網站伺服器目錄與設定檔案權限控管不嚴，可能使攻擊者取得系統架構資訊。
• 攻擊者可藉由這些資訊進一步進行滲透與入侵。

🛠 改進措施

為防止類似事件發生，各機關應：

1. 避免以 GET 方式傳送敏感資訊（如帳號密碼），應採用 POST 並搭配 HTTPS 加密傳輸。
2. 妥善控管網站伺服器目錄與檔案存取權限，避免外部可直接讀取日誌檔、設定檔等敏感資料。
3. 移除不必要的系統資訊頁面（例如 phpinfo），防止洩露系統環境細節。
4. 定期盤查與掃描網站目錄，檢查是否存在未授權或可疑檔案與路徑。
5. 加強網站安全設定與監控，確保日誌、設定檔等僅供內部維運人員存取。
6. 落實資安演練與稽核，確保修補與防護措施確實執行。

💡 提醒公務同仁

攻擊者往往會在實際入侵前進行偵查與情報蒐集，若網站對外暴露過多系統資訊，將大幅提升被攻擊的可能性。請各單位持續落實資訊安全管理與系統維運控管，防範未然。

資料來源:資通安全網路月報