此文早前發佈於致點科技創始人個人博客,專此轉載並有所修改。
一、前言
OWASP Top 10 2025 第六項風險「Insecure Design」(不安全設計)正是軟件工程界與網絡安全界真正交匯之處,卻亦是雙方最容易互相推卸責任、選擇性忽略的「灰色地帶」。
網絡安全從業員往往將此歸咎為「開發團隊的問題」,理由是針對直接關聯業務邏輯的不安全設計,網絡安全常用的「外科手術式」技術手段基本上無能為力;而軟件工程師則慣性認為:「即使設計有問題,那也是業務需求使然,並非漏洞」,潛台詞即是業務優先、安全靠邊。
正因如此,A06 風險長期存在,根源在於雙方認知分歧,且均未能穿透問題本質。
Insecure Design 的本質,絕非單純以編碼缺陷可概括。它是一種在需求分析階段便已埋下的結構性風險,關鍵在於執行需求分析的系統分析師是否具備足夠的風險管控意識,以及能否從業務邏輯中預判潛在威脅因素,繼而才能在設計與實現階段作出協同應對。
二、導致不安全設計的典型情境
筆者在此舉出親身經歷的兩個案例:
1)經驗慣性所致
在工業物聯網(IIoT)領域,常見的設計慣性是:由於設備通常部署於物理隔離的內網環境,開發人員習慣將控制指令(如啟停、參數調整)以明文形式直接在網絡上傳輸。此類設計雖在封閉網絡中隱患尚存,但因攻擊面受限,仍屬「可控風險」。
然而,當同一設計邏輯被直接套用至面向互聯網的消費級 IoT 系統時,不可控風險隨即浮現。攻擊者可透過列舉 API 路徑、重放請求、篡改參數等方式,繞過身份驗證,直接操控設備。
舉例而言,假設某設備的 API 設計如下:
POST /api/v1/device/12345/control
Body: { "action": "set_max_op_mins", "value": 30 }若 API 內部未對 URL 路徑中的設備 ID(12345)實施適當的存取控制措施——例如驗證用戶身份、權限,或要求訪客提供有效存取密鑰(顯然本例並無此機制)——攻擊者便可能透過窮舉法獲取設備 ID,進而構造控制參數,遠程操縱設備,造成設備損毀與經濟損失。
須強調的是,若設計階段根本未考慮任何權限控制機制,這並非「越權存取」,而是根本未建立權限模型,屬於典型的 Insecure Design。透過源代碼審計即可確認此問題性質。
此問題的根源不在開發者的編碼能力高低,而在於經驗慣性導致系統設計時未將「資源歸屬」與「操作授權」視為業務邏輯的核心規則納入業務模型。
2)具潛在風險的業務模型
除違反明確風險控制原則所引致的安全漏洞外,Insecure Design 還有一種更隱蔽的情況:
業務邏輯模型本身即構成風險。
此類問題不易察覺,卻尤需在分析階段便前瞻性識別,否則問題將延至設計、實現甚至交付後才暴露,屆時或已難以收拾。
例如,某 O2O 網上預訂流程的業務邏輯被設計為一系列用戶步驟,每步對應一個 API 操作:
選擇線下門市 → 選擇服務類型 → 選擇服務細節參數 → 選擇預訂時間 → 選擇付款方式 → 發起付款 → 付款後處理等。每個環節至少對應一個 API。
單從業務邏輯看,這些步驟看似必要,能有效引導用戶完成整個線上服務流程,API 設計緊貼業務邏輯,似乎「合理」。
但從風險管控角度觀之,此設計等於將風險敞口擴大 N 倍(N = API 數量)。只要其中任一 API 存在安全漏洞,整個系統即告失守。
三、從軟件工程角度探討解決方案
上述兩例均無法依靠「外科手術式」技術手段彌補,必須從軟件工程開發本質著手解決。
針對案例一:混淆 API 參數,並設計合適的鑑權機制。
自然有人會質疑:「混淆參數增加複雜度與工作量,真有必要?」
答案是肯定的。須強調,混淆(Obfuscation)僅是實現機密性(Confidentiality, C)的手段之一。資訊安全的 CIA 三要素(Confidentiality, Integrity, Availability)必須協同保障。
- 如何確保完整性(Integrity)?
可對 API Payload 進行數位簽章與驗證,或僅對關鍵 ID 參數使用 HMAC 校驗,防止篡改。 - 如何保障可用性(Availability)?
混淆機制不宜過度複雜,以免引入效能瓶頸或調試困難。例如,若數位簽章僅需 10 分鐘內有效,則無需使用長密鑰或多演算法交叉驗證。
業界已有成熟模式可循,如 JWT(JSON Web Token)可直接採用,或簡化為外部 ID 映射內部 ID。但如前所述,必須結合 CIA 三要素的綜合評估結果方能定案。
針對案例二:取消原有分步 API,改為單一「獲取服務內容」API。所有步驟在前端完成,僅在發起付款時提交完整訂單,由後端 API 進行全面校驗。
此方案之核心,在於軟件工程人員需在分析與設計階段深入理解業務邏輯,思維不能拘泥於既有分步流程,並意識到新設計更能靈活適應未來流程變更:
前期大部分業務邏輯由前端處理,若需調整步驟以提升用戶體驗,大概率無需修改後端 API,反而提升了 API 的健壯性。
事實上,從軟件工程角度看,安全設計所帶來的額外實現成本,不能簡單以「值不值得」衡量。正如「資料庫讀寫是否需交易機制」、「系統是否需日誌審計」等基礎議題一樣,安全並非可選項,而是軟件品質屬性之一。作為系統分析師或架構師,我們的職責是在需求階段即將安全視為非功能性需求,並量化其對系統可靠性與合規性的影響。
四、從網絡安全角度重新解讀 Insecure Design
不少安全從業員仍將 Insecure Design 簡單等同於「越權漏洞」(Broken Access Control),此乃誤解。
Insecure Design 的本質是「未限制風險的產生」。
越權的前提是存在權限模型,而 Insecure Design 的範疇廣闊得多。即使僅從資源所有權關係、角色操作映射等要素理解,仍屬片面,未能從整體風險管控視角把握其本質。如前述案例二所示,風險敞口倍增問題正是整體性風險控制缺失的體現。
安全從業員之所以存在此局限,多因安全與業務脫節所致。筆者於過往文章中屢次強調:
若安全未能融入業務,必將被邊緣化,甚至遭徹底忽視。
對企業高層而言,CIO 與 CISO 是否應為兩個分離角色?筆者的答案是否定的。
具體至執行網絡安全職責之人員,若未能將職能與能力延伸至業務相關的系統設計文件、數據流圖、權限模型及功能流程的安全審查,即代表其仍未與業務融合。
五、安全設計無捷徑,不可迴避
軟件開發中最危險的思維莫過於:「先跑通功能,安全日後再加。」
此種「敏捷式拖延」在 Insecure Design 面前尤為致命。一旦數據模型、介面規範、權限體系定型,後期修改將牽一髮而動全身,所需成本遠高於初期設計階段。
順帶一提,此亦影響經濟審計(筆者背景之一):
一個因安全漏洞而需「補鑊」的應用系統,其實際價值並不會因追加修補投資而增值,反而因確認存在重大缺陷而應予減值。
尤其在涉及知識產權定價與轉讓時,等於直接否定其價值。誰願冒險採購一套曾耗巨資修補漏洞的系統?誰能保證其中沒有其他未被發現的重大風險?
因此,Secure by Design 的核心在於:
安全不是系統功能,而是原則性的整體系統能力。
它要求我們在繪製第一張 UML 圖、撰寫第一個 Use Case 時,便貫穿風險管控意識。
系統分析師,必須是網絡安全落地的第一環。
六、網絡安全從業員何去何從?
本文雖源於筆者自身技術背景(資訊系統審計師 + 系統分析師 + 軟件工程碩士),但對純網絡安全從業員亦具啟示:
未來的安全人才,必須立足於「軟件工程與網絡安全」的交叉點。
僅會用 Burp Suite 爆破 API 的時代正在過去——AI 正迅速取代機械重複的勞動。企業真正需要的,是能解讀架構圖、參與需求評審、推動威脅建模落地的「橋樑型」人才,或更直白地說:能判斷某項設計是否引入不可接受風險的人才。
因為,安全已是現代軟件工程不可分割的一部分。