Download
1 / 12
130 likes | 240 Views
網路安全管理期末報告. 網站防護技術介紹與案例. A0953343 蘇柏戎 指導老師:梁明章 老師. 系統弱點的一生. 網站應用程式弱點的一生. 網站應用程式弱點. 網站包含需求、規畫、開發、測試、上線 ... 等程序,每個階段都可能造成「弱點」 網站邏輯設計錯誤 網路應用系統安全弱點 (OWASP) SOP 程序弱點 須以 SOP 文件 進行網站上線前之檢核 HTTP PUT Method 檢測 發展 網站上線前的安全檢核清單 避免設定不當造成問題. 網站常見威脅 (1/2). 網站常見威脅 (2/2). 洞悉網站威脅
E N D
網路安全管理期末報告 網站防護技術介紹與案例 A0953343 蘇柏戎指導老師:梁明章 老師
網站應用程式弱點 • 網站包含需求、規畫、開發、測試、上線...等程序,每個階段都可能造成「弱點」 • 網站邏輯設計錯誤 • 網路應用系統安全弱點 (OWASP) • SOP 程序弱點 • 須以SOP文件進行網站上線前之檢核 • HTTP PUT Method檢測 • 發展網站上線前的安全檢核清單避免設定不當造成問題
網站常見威脅 (2/2) • 洞悉網站威脅 • 沒有一個是 IT 人員自行發現的 • 培養敏感度 • 情報網是否情蒐管道暢通 • 客服或企業聯繫窗口 • 地下經濟利益 • 地下利益是動機、目的,威脅手法只是其手段 • 網站上有哪些是有心人士想要的?
網站瀏覽者的威脅 網頁信譽評等 WRS, Web Reputation Services http://mylinkweb.blogspot.com/search?q=WRS
案 例 (1/2) • 密碼復原的邏輯錯誤 • 2008/10/09 田納西男子駭進培林的電子信箱 • 美國一名男子駭進美國共和黨副總統候選人培林的E-MAIL信箱 • 他正確回答網管系統設定的一系列問題後,侵入培林設在雅虎的電子信箱並更改培林信箱的使用者名稱與密碼
案 例 (2/2) • twitter XSS worm「stalkdaily worm」 • 2009/4/12 17歲少年:twitter XSS worm-stalkdaily worm蠕蟲是我做的 • 利用XSS漏洞感染使用者,寫入惡意javascript • 以被感染之使用者帳號發出tweet,另一方面則在其他使用者瀏覽該profile時,感染並散播 • 不需特殊權限就能進行 • 攻擊者在帳號欄位插入惡意javascript,並藉由該帳號發出一些吸引人之tweet,或跟隨別人 • 最近twitter小幅改版造成,很快就遭到利用
網頁程式安全防護 • 做好網頁系統的Code Review • 網頁程式撰寫稍有不慎,就可能把整個電腦的控制權送給惡意的使用者 • 內部檢視-原始碼檢視 • 外部檢視-黑箱測試 • 開發團隊成員安全認知不足或是團隊安全認知不均是安全性難以確保的主因 • 新的專案可能繼承舊的安全缺陷而持續殘留 • Web程式本身相當安全,卻忘記對第三方函式庫或模組檢視安全性或追蹤安全弱點並持續修正
網頁程式安全防護-Web2.0 • Web 2.0網站解析(Parsing)整個URI將路徑名或檔名作為tag • URI的來源來自伺服器環境變數並非傳統的GPC,惡意攻擊者可以製作一個包含特殊語法的URI對應用程式做請求,達到特定的攻擊方式 • 隱藏類型的XSS跨站台攻擊 • 惡意的JavaScript無法被透過「檢視原始碼」看到,因為Ajax只顯示原有被瀏覽器取回執行的頁面,並非反應當前狀態 • 過渡執行程式與隱藏性POST發送方式 • 在Ajax程式中請求是隱藏的,而且只有在不同的用戶行為下才會觸發服務請求 • 許多網站在沒有使用者觸發事件的情況下藉由JavaScript的timeout能力,限定每幾秒內就觸發一次服務請求
End 感謝聆聽 • 參考資料: • 阿碼外傳 • http://armorize-cht.blogspot.com • 資安人科技網http://www.isecutech.com.tw
