Download
1 / 39
400 likes | 624 Views
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心. 第四章 Web 網站攻擊與防護. 大網. 4.1 Web 常見攻擊手法及弱點分析 4.2 網頁病毒 4.3 網頁應用程式漏洞入侵 4.4 Web 安全防護機制 4.5 Web 防毒牆. 4.1 Web 常見攻擊手法及弱點分析. 網頁應用系統 (Web Application) 以網頁為介面的應用程式與系統 以網頁瀏覽器來進行存取 方便更新與維護 一般常見的網頁應用系統 會員管理系統 線上購物中心 個人部落格
E N D
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第四章 Web網站攻擊與防護
大網 第四章 Web網站攻擊與防護 • 4.1Web 常見攻擊手法及弱點分析 • 4.2 網頁病毒 • 4.3 網頁應用程式漏洞入侵 • 4.4Web 安全防護機制 • 4.5Web 防毒牆
4.1Web 常見攻擊手法及弱點分析 第四章 Web網站攻擊與防護 • 網頁應用系統 (Web Application) • 以網頁為介面的應用程式與系統 • 以網頁瀏覽器來進行存取 • 方便更新與維護 • 一般常見的網頁應用系統 • 會員管理系統 • 線上購物中心 • 個人部落格 • 網頁應用系統為一個開放式的服務,該服務有可能成為攻擊者主要攻擊的目標或進入內部網路的進入點。 • 網頁應用系統為一個 Client-Server 架構,資料在傳輸過程中可能被攻擊者從中攔截或竊取竄改。 Web Server Internet Client Attacker 網頁應用系統 Client-Server 的架構
4.1Web 常見攻擊手法及弱點分析 第四章 Web網站攻擊與防護 • OWASP (開放Web軟體安全計畫-Open Web Application Security Project) 是一個開放社群、非營利性組織,目前全球有82個分會近萬名會員,其主要目標是研議協助解決 Web 軟體安全之標準、工具與技術文件,長期致力於協助政府或企業暸解並改善網頁應用程式與網頁服務的安全性。 • 如果開放網頁服務,就意味著必須讓來自於全球各地的使用者存取網頁伺服器。駭客可以藉由合法的網頁請求,躲過防火牆、入侵偵測系統或其他防禦系統的偵測,堂而皇之的進入內部網路或使用網頁伺服器充當跳板與中繼站而向其他受害者發動攻擊。 • 美國聯邦貿易委員會 (FTC) 強烈建議所有企業需遵循 OWASP 所發佈的十大 Web 弱點防護守則、美國國防部亦列為最佳實務,國際信用卡資料安全技術 PCI 標準更將其列為必要元件。
4.1Web 常見攻擊手法及弱點分析 第四章 Web網站攻擊與防護 • 下圖為 OWASP 於 2007 年所公佈的 Web 十大弱點 OWASP 2007 TOP 10
4.1Web 常見攻擊手法及弱點分析 第四章 Web網站攻擊與防護 • 1. 跨網站的入侵字串 (Cross Site Scripting) : Web 應用程式直接將來自使用者的請求送回瀏覽器執行,使得攻擊者可以輕易的擷取到使用者的 Cookie 或 Session 資料,而攻擊者就能利用這些資訊假冒成合法的使用者 。 • 2. 注入缺失 (Injection Flaw) : Web 應用程式會執行來自外部 (包括資料庫) 的惡意指令,如 SQL Injection 、 Command Injection 等等。 • 3. 惡意檔案執行 (Malicious File Execution) : Web 應用程式引入來自外部的惡意檔案並執行檔案內容。 • 4. 不安全的物件參考 (Insecure Direct Object Reference):攻擊者利用 Web 應用程式本身的檔案讀取功能任意存取檔案或重要資料,例如 http://insecuredirectobjectreference.com/read.php?file=../../../c:\boot.ini • 5. 跨網站的偽造要求 (Cross-Site Request Forgery,簡稱CSRF) :已登入 Web 應用程式的合法使用者執行到惡意的 HTTP 指令,但 Web 應用程式卻當成合法需求處理,使得惡意指令被正常執行,例如社交網站分享的 QuickTime、Flash 影片中藏有惡意的 HTTP 請求。
4.1Web 常見攻擊手法及弱點分析 第四章 Web網站攻擊與防護 • 6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling):Web 應用程式的執行錯誤訊息包含敏感資料,例如系統檔案路徑或資料庫欄位名稱的洩露。 • 7. 遭破壞的鑑別與連線管理 (Broken Authentication and Session Management):Web 應用程式中自行撰寫的身分驗證相關功能有缺陷。 • 8. 不安全的密碼儲存 (Insecure Cryptographic Storage):Web 應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法以及將金鑰儲存於容易被取得之處等等。 • 9. 不安全的通訊 (Insecure Communication): 傳送敏感性資料時並未使用 HTTPS 或其他較安全的加密方式。 • 10. 疏於限制URL存取 (Failure to Restrict URL Access) :某些網頁因為沒有權限控制,使得攻擊者可透過網址直接存取,例如攻擊者可以直接修改 Wiki 或 Blog 網頁的內容。
4.1Web 常見攻擊手法及弱點分析 第四章 Web網站攻擊與防護 • 從 OWASP 所發佈最常見的十種攻擊方法中,第一個到第五個的攻擊方法皆與 Web 應用程式本身的程式碼有很大的關係,這類的攻擊方法都是利用 Web 應用程式忽略了應該要注意的函數處理以及沒有防範來自使用者的惡意輸入。 • 第六個到第十個的攻擊方法大部分與 Web 應用程式執行時,因設定或是參數配置有缺失而導致的,這類問題可以透過弱點掃描或滲透測試來發現。
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 網頁病毒常見的可分為下列二種: • 網頁惡意程式 • 網頁木馬程式 • 網頁惡意程式 • 原理 網頁可以利用某些程式變得更多樣化,但是有心人士就會利用這些程式撰寫一些惡意的程式,例如更改瀏覽器相關設定 (綁架首頁 )。 • 特色 「製作難度低」是網頁惡意程式的特色,但是這種惡意程式破壞力通常不大,不會造成整個網路癱瘓。 • 危害 瀏覽器綁架、妨礙上網、收發信不正常、硬碟被格式化等等。 不懷好意的人在網站內嵌惡意程式與程式碼 瀏覽器執行內嵌惡意程式與程式碼而中毒 瀏覽網頁感染 合併病毒感染或木馬程式植入 後果 後果 後果 硬碟格式化或資料損毀 瀏覽器設定被修改與綁架 網頁惡意程式可能造成的結果
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 網頁惡意程式 • 網頁惡意程式大多會修改系統登錄機碼 (Registry) ,然後常駐在開機啟動中讓你下次開機時依然會執行。 • 網頁惡意程式也經常常駐在 Internet 的暫存檔。 • 加裝檢查惡意程式軟體可以改善,但無法完全預防。 • 網頁惡意程式不像病毒與蠕蟲有固定的執行程式與方法,所以使用防毒軟體或檢查惡意程式軟體不一定能找到,因此網頁惡意程式的預防是很重要的。 • 網頁惡意程式的預防 • 不收發及轉寄一些奇怪的郵件。 • 不上一些奇怪的網站 (地下、破解、下載、情色等等) 。 • 對於上網要有警覺心。
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 網頁木馬程式 • 原理 當木馬被執行後,木馬程式會透過網路在使用者與駭客間建立一條資料傳輸通道,而駭客就可以利用這條通道來竊取資料、遠端遙控或監控使用者的畫面取得他所需要的資料。 • 依感染分類 視窗木馬 (網頁惡意程式) 。 電子郵件木馬 (網路釣魚、轉寄文件) 。 • 依作用分類 遠端遙控木馬 鍵盤側錄木馬 畫面擷取木馬 資料竊取木馬 (帳號、密碼、信用卡資料) 跳板程式木馬 呼叫其他病毒、蠕蟲或其他種類木馬的木馬 複合型木馬 • 危害 系統運作不正常、帳號被竊取、檔案資料被變更、沒在上網網路卻很忙、電腦無故變慢等等。 建立與駭客連結通道 傳輸資料 透過網頁、郵件附件 植入木馬 感染與發作 網頁木馬感染流程圖
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 網頁木馬程式 • 木馬一定需要被執行,所以可查看系統裡有哪些不正常的應用程式或服務被啟動。 • 有些木馬會使用正常系統應用程式的名稱,如 explorer.exe exp1orer.exe (小寫L數字1) 。 • 使用防毒、木馬軟體移除已知的木馬。 • 手動檢查 系統登錄機碼 啟動程式區 服務啟動區 Internet 下載暫存檔 Windows\system32 程式區 不正常網路通訊 • 網頁木馬程式的預防 • 不收發及轉寄一些奇怪的郵件。 • 不上一些奇怪的網站 (地下、破解、下載、情色等等) 。 • 安裝個人防火牆、系統監控軟體。
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 網頁惡意程式及木馬程式的危害 • 對網站擁有者而言 • 因管理不善導致他人被入侵而負上法律責任。 • 商譽的損失。 • 對一般使用者而言 • 資料失竊 隱私資料、信用卡資料、線上遊戲虛擬寶物… • 被當跳板主機 可能面臨法律責任
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 造成網頁惡意程式及木馬程式的原因 • 網站伺服器的弱點或管理不當 • 不當的設定與管理 • 不安全的預設網站路徑與記錄檔檔案配置 • 沒有更改預設的管理者密碼 • 不當設定讓使用者能存取任何網頁目錄 • 過於寬鬆的網頁權限設定 • 沒有刪除不必要之網站或虛擬目錄 • 網頁應用程式設計錯誤 • SQL Injection
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 網頁惡意程式及木馬程式的攻擊手法 • 內嵌 • 直接在網頁中嵌入惡意程式碼 • 實例 • 可導致使用者作業系統被入侵的程式碼,例如:攻擊Internet Explorer弱點的攻擊程式(MS06-14…)。
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 網頁惡意程式及木馬程式的攻擊手法 • 外連 • 將使用者導引至外部惡意網站 • 目前最常被使用的掛馬方式 • 目前常見的實作手法: • 修改網頁HTML語法,將使用者導引至外部網站 例如:使用IFRAME語法。 • 使用JS檔案將使用者導引至外部網站
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 外連範例-多媒體檔案 • 部份多媒體檔案為了增加互動性,支援內嵌script的功能,當使用者播放該多媒體檔案,將會觸發script的執行。 • 常見可執行script的多媒體格式 • Real Player:RM格式 • Flash:SWF格式 • Microsoft Media Player:WMV格式 • 駭客可以修改script內容,在播放影片時將使用者導引至惡意網站。
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 攻擊手法分析 • 內嵌 • 優點 • 不容易讓使用者發覺(但容易被掃瞄到、 HackerAlert)。 • 缺點 • 可能會被伺服器上的防毒軟體掃除。 • 惡意程式改版不易。 • 須取得完整修改網頁的權限。
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 攻擊手法分析 • 外連 • 優點 • 僅需取得插入一行程式碼的權限。 • 駭客可以隨時修改惡意程式。 • 缺點 • 駭客所使用的網址會被加入黑名單。
4.2 網頁病毒 第四章 Web網站攻擊與防護 • 如何避免網頁病毒 • 伺服端 • 使用網頁惡意程式檢測,例如:阿瑪科技、McAfee。 • 安裝修補程式(作業系統、應用程式..)。 • 加固系統。 • 弱點掃瞄。 • 使用防毒軟體、 NIPS、 Firewall、網頁應用程式防火牆等。 • 網頁掃瞄軟體或服務(例如: HackSafe)。 • 使用者端 • 避免上可能有惡意程式的網站。 • 安裝修補程式。 • 使用防毒軟體、HIPS、Person Firewall等。 • 考慮IE以外的瀏覽器(Firefox)。 • 停用Javascript功能或使用Firefox套件Noscript。 • 建立網站黑名單。
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • SQL Injection • 破解系統登入管制 正常指令 string strSQL=“Select * from Users where username=‘” + textUserName.Text + “’ and password=‘” + txtPassword.Text +’”’; 惡意指令 在User ID中輸入 ‘ or 1=1 - - string strSQL=“Select *from Users where username=“ or 1=1 - - and password=“” • 破壞資料庫 惡意指令 在User ID中輸入 Jack ; drop table Users - - string SQL=“Select * from users where username=‘Jack’ ; drop table Users - - • 控制 SQL Server 惡意指令 在 User ID 中輸入 Jack ; exec master..xp_cmdshell ‘ipconfig /release’ string SQL=“Select * from Users where username=‘Jack’ ; exec master..xp_cmdshell ‘ipconfig /release’ Users Database Web 登入介面
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • 如何防範 SQL Injection • 網頁程式撰寫方面 1. 過濾輸入字串中可能隱含的 sql 指令,如 Insert、Select、Update以及--等等特殊符號。 2. 設定欄位的MaxLength屬性及data type。 3. 限制應用程式或網頁只能擁有執行 Stored Procedure 的權限,不能直接存取資料庫中的 table 。 4. 進行程式編寫時,應使用 Web Application Vulnerability Scanner 檢查程式是否存在有輸入資料的 漏洞。 5. 部置 Web Application Firewall 。 6. 在SDLC系統開發生命週期中納入應用程式安全的風險評估及檢查。 7. 將使用者輸入資料當做參數傳給SQL敘述或Stored Procedure。
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • 如何防範 SQL Injection • 資料庫管制方面 1. 刪除多餘的公開資料表 (程式開發、範例等) 。 2. 若無特殊必要,將其他使用者設定為一般使用者權限,以避免資料庫遭到入侵。 3. 移除不必要但功能強大的延伸預存程序,如xp_cmdshell、xp_regaddmultistring、 xp_unpackcab等等。 4. 加強對資料庫操作的稽核。 5. 部署資料庫安全設備 (如SQL Guard)。 6. 使用[Windows整合安全模式]登入資料庫,避免使用系統管理員sa身份登入資料庫。
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • Hidden Field Tampering攻擊 • 將 HTML Form 存到硬碟中,重製網頁。 • 竄改 Hidden 欄位的內容值。 • 將竄改後的 Form 重送到 Web Server 。 • Hidden Field Tampering攻擊步驟 • 檢視帶有隱藏欄位的網頁原始檔 • 另存成新的 HTML 檔案 • 修改網頁中隱藏欄位的內容值 <form name=“Form” method=“post” action=“http://Web Server 位置/check.asp?id=1”> … <input name=“HiddenPrice” type=“hidden” id=“HiddenPrice” value=“100000”> … </form> • 修改完後存檔並執行 Submit
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • 如何防範Hidden Field Tampering攻擊 • 在Client端對輸入參數過濾 • 以Javascript為例 • <script language="Javascript"> function checkID(string) { re = /'/g; if (re.test(string)) { alert("您不可使用單引號"); return false; exit; } else return true; } </script>
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • Path Injection • 在使用者端瀏覽器做檢查容易被駭客繞過,打破程式設計師預設的邏輯。 • 實例說明 • 使用駭客工具WebScarab當做HTTP Proxy,當使用者POST資料後WebScarab會攔截並手動修改使用者輸入成path-injection.cpp,則此程式原始碼就會被dump出來。
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • Cross-Site Scripting(XSS)攻擊 • 在1999年11月,David Ross證明網頁內容可以inject到伺服端(Script Injection)。 • 在2002年, Samy Worm在24小時之內感染了MySpace.com超過一百萬使用者。 • Web應用程式最常見的漏洞之一。 • 曾經受害的知名網站眾多,包括:FBI.gov、CNN.com、Time.com、Ebay、 Yahoo、Apple computer、Microsoft、Zdnet、Wired與Newsbytes。 • 每個月約有10-25個網站被發現有XSS的漏洞。
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • XSS攻擊模式 • 竊取網頁使用者的個人資料 • 重導網頁 • 破壞網頁顯示的內容 • 執行無窮迴圈 • 常受到 XSS 攻擊的網頁 • 搜尋網頁 • 討論區 • 留言板 • 登入畫面 利用OWASP所提供的WebGoat所進行的XSS攻擊
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • Cross-Site Scripting工具 • GNUCITIZEN (使用php與firefox) • GNUCITIZEN宣稱發現Google Gmail存在一個CSRF安全漏洞,使得攻擊者可以製作任意的惡意網頁,當使用者瀏覽那些網頁時,可以將某些規則寫入Gmail 的篩選器中(當然,那時你已經登入Gmail),以綁架(監控) 使用者的電子郵件,不過,此作者並未將驗證程式碼公佈。
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • Cross-Site Scripting工具 • BeEF (Browser Exploitation Framework) • OWASP CAL9000(Beta Status) • 作者儘可能的將OWASP Guide加入此工具以進行checklist testing。
4.3 網頁應用程式漏洞入侵 第四章 Web網站攻擊與防護 • 防範 XSS 攻擊 (Client-side) • 選擇瀏覽器 -IE、Firefox、Opera…。 • 使用瀏覽器的擴充套件 – AntiPhishing toolbar(IE、Firefox)、noscript(Firefox)… 。 • 關閉特效 – Javascript、Flash… 。 • 使用虛擬機器。 • 對使用者進行教育訓練。 • 防範 XSS 攻擊 (Server-side) • 對使用者輸入的資料過濾。 • 設定 TextBox 等欄位的 MaxLength 屬性。 • 對 Cookie 資料加密。 • 部署 Web Application Firewall 。 • 了解駭客各種攻擊手法(URL Encode) • %3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E <script>alert(document.cookie)</script>
4.4Web 安全防護機制 第四章 Web網站攻擊與防護 • 網頁應用程式弱點掃描工具 - WebInspect • 可掃描SQL Injection、XSS等等38種常見的 Web 應用程式弱點 • 掃描政策包括 Sarbanes-Oxley California SB 1386 Gramm-Leach-Bliley Act (GLBA) Health Insurance Portability and -Accountability Act (HIPAA) ISO 17799 VISA PCI Data Compliance OWASP Top 10 • 執行結果:統計影響應用程式的弱點 • 網站弱點:細部報告每個弱點,解決方案 • 開發人員的參考:細部描述在網站上所發現的 form、javascript、e-mail、hidden… • QA結果:列出所有網頁的URLs • 警告視窗:列出每個成功的攻擊和被發現有弱點的 URLs • 攻擊狀態:列出攻擊的嚴重程度 • 掃描記錄 • 趨勢分析 使用WebInspect掃描過程
4.4Web 安全防護機制 第四章 Web網站攻擊與防護 • 網頁應用程式弱點掃描工具 -AppScan • 提供完整的 Web 應用程式漏洞掃描引擎,可掃描各種網站應用程式和網站服務。 • 可偵測出XSS、SQL Injection等多種 Web 應用系統攻擊,將掃描結果依風險分類與統計。 • 提供網站自動化掃描, 可定期稽核網站安全強度。 • 自動線上更新最新發現的安全弱點資料庫,防止 Zero-day 攻擊。 • 可產生多種符合業界標準 (OWASP Top 10、SANS Top 20) 報表範例。 • 針對不同對象 (管理者、開發者) ,產生弱點解說報表與修補建議。 • 提供使用者進階測試工具,協助使用者驗證掃描結果。 使用AppScan掃描結果
4.4Web 安全防護機制 第四章 Web網站攻擊與防護 • 網頁應用程式弱點掃描工具 – Acunetix • 可防止以下攻擊 XSS SQL Injection Google hacking database Code execution Directory traversal CRLF injection … • 具有自動搜尋備份檔案、目錄、敏感性資料的檔案或目錄的功能 • 可自動搜尋可用的網站伺服器 使用Acunetix掃描結果
4.4Web 安全防護機制 第四章 Web網站攻擊與防護 • 原始碼掃描工具 – DevInspect • 多種分析方法 網路應用程式與網路服務的全方位安全性評估 • 自動修補安全性漏洞 找出應用程式中的安全性漏洞區域 自動修復有缺陷的程式碼 辨識並保護所有應用程式輸入 修正不安全的應用程式組態 • 支援 AJAX 搜索 ASP.NET AJAX 網路服務的呼叫並對潛在的 JSON 和 SOAP 網路服務進行深入的安全性分析 • ASP.NET 應用程式自我防護 能夠偵測並預防數種攻擊類型,包括 SQL Injection、XSS以及緩衝區溢位等
4.5Web 防毒牆 第四章 Web網站攻擊與防護 • 利用修補軟體所需花費成本過高 • 平均每1000行程式碼會有15個安全弱點。 • 追查一個安全弱點需要花費75分鐘,而修補一個弱點需花費2~9個小時。 • 平均每個電子商務網站所使用的應用程式將用到150,000~250,000行程式碼。 • 檢查一個電子商務網站程式碼是否安全需要花費: 625天(一年又260天)
4.5Web 防毒牆 第四章 Web網站攻擊與防護 • 部署 Web Application Firewall 前,高風險弱點的數量是很吸引駭客的! • 部署 Web Application Firewall 後,高風險弱點的數量明顯比部署前少了許多,比較不會引起駭客的注意。 部署 Web Application Firewall 前 部署 Web Application Firewall 後
4.5Web 防毒牆 第四章 Web網站攻擊與防護 • Web 防毒牆 • 避免 Web 應用程式和電子郵件傳播病毒、惡意程式、間諜程式等等。 • 針對 Web 應用程式,防毒牆提供 • 應用程式管理 目前普遍為大家所使用的應用程式,大致可分為即時通訊、點對點、電子郵件與檔案傳輸等等,若使用這些應用程式,可能產生許多風險,如收送遭受病毒感染的電子郵件。 • 網頁內容過濾 針對網站分類與網頁連結位址進行阻擋,如賭博、色情、暴力等等網站,也可利用自訂的方式將需要阻擋的網頁進行阻擋。 部署 Web Application Firewall
參考資料 第四章 Web網站攻擊與防護 • 「網站攻擊與防護.ppt 」。 • 「網路攻防課程-Day 2.pdf 」。 • 「 OWASP_Top_10_2007.pdf」。 • 「Web應用程式安全參考指引V.2.pdf」。 • 「http://www.secucom.com.tw/big5/content/content.asp?cid=69」。 • 「http://www.bockytech.com.tw/products/Acunetix.htm」。 • 「 http://www.issdu.com.tw/product/index-2.jsp?catalogID=37 」。 • 「IE + some popular forward proxy servers = XSS, defacement (browser cache poisoning) 」。 • 「 Meanwhile, on the other side of the web server」。 • 「 Detecting and Preventing HTTP Response Splitting and HTTP Request Smuggling Attacks at the TCP Level 」。 • 「 HTTP Response Smuggling」。 • 台灣電腦網路危機處理暨協調中心,http://www.cert.org.tw/。 • 資通安全資訊網,http://ics.stpi.org.tw/。 • 資安人科技網,http://www.isecutech.com.tw/。 • ISC資通安全聯盟,http://www.isc.ntust.edu.tw/。 • 中華民國風險管理學會,http://www.rmst.org.tw/。
