Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎

HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎

Télécharger pour lire hors ligne

同學們,你們想知道常見的網站漏洞有哪些嗎?好奇駭客是如何利用它們來竊取你的帳號、密碼等個人資料嗎?那你絕對不能不知道 OWASP TOP 10!這一場活動將以OWASP TOP 10 作為主軸,帶領各位了解應用系統安全漏洞潛在的威脅和安全問題。

同學們,你們想知道常見的網站漏洞有哪些嗎?好奇駭客是如何利用它們來竊取你的帳號、密碼等個人資料嗎?那你絕對不能不知道 OWASP TOP 10!這一場活動將以OWASP TOP 10 作為主軸,帶領各位了解應用系統安全漏洞潛在的威脅和安全問題。

Plus De Contenu Connexe

HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎

  1. 1. Shirley 2017/07 你知道你連線的網站黑黑的嗎
  2. 2. 大綱 • 網站是什麼?好吃嗎? • OWASP • OWASP TOP 10 • 上網時的安全注意事項
  3. 3. 大家覺得 架設一個網站必備什麼
  4. 4. 麻瓜認為的 架設網站
  5. 5. 周圍朋友認為的 架設網站
  6. 6. 略懂資訊的人認為的 架設網站
  7. 7. 架設網站需要的
  8. 8. • 購買 / 註冊網址 • 準備架網站的空間 • 建置網站的程式 • 設定網站的樣板 • 建立資料庫
  9. 9. 這些網站 可能會有什麼風險
  10. 10. OWASP
  11. 11. OWASP • OWASP - Open Web Application Security Project (開放Web軟 體安全計畫) • OWASP TOP 10 – 最常見的十大網路應用系統安全弱點 • 通常大約三~四年更新一次. • 這次的課程主要探討的是 OWASP TOP 10 的 2017 版本 • 很不幸的在開講前一個月更新了…
  12. 12. OWASP TOP 10 A1 - Injection A2 - Broken Authentication and Session Management A3 - Cross-Site Scripting(XSS) A4 - Broken Access Control A5 - Security Misconfiguration A6 - Sensitive Data Exposure A7 - Insufficient Attack Protection A8 - Cross Site Request Forgery (CSRF) A9 - Using Components with Known Vulnerabilities A10 - Underprotected APIs
  13. 13. A1 – INJECTION 注入攻擊
  14. 14. INJECTION (注入攻擊)
  15. 15. INJECTION (注入攻擊) • 網站應用程式執行來自外部的惡意指令 • 為何會發生 injection? • 未驗證使用者輸入的資料 • 過濾的方法不當
  16. 16. SQL INJECTION 範例 • 找出未受到保護的注入點 • URL 的基本檢測法 • 在後方加上「 and 1=0 」
  17. 17. 如何防範 INJECTION 發生? • 白名單 • 長度、類型、範圍 • 黑名單 (maybe...)
  18. 18. A2 - BROKEN AUTHENTICATION AND SESSION MANAGEMENT 失效的驗證與連線管理
  19. 19. 登入網站後, 網站要如何知道你就是你?
  20. 20. 失效的驗證與連線管理 1. 輸入帳號密碼 2. 確認身分並提供身分憑證 3. 透過該憑證傳遞資訊
  21. 21. 失效的驗證與連線管理 • 如果沒有保護好憑證,會發生…? • 憑證被竊取 • 憑證可能被猜測出來 • 身分被盜用
  22. 22. 失效的驗證與連線管理
  23. 23. 如何預防及防護? • 管理者角度 • 不要對新帳戶使用默認密碼 • 在任何情況下,密碼不得顯示 • 密碼複雜度 • 設定 timeout 機制 • 使用者角度 • 登入時是否使用加密傳輸
  24. 24. A3 - CROSS-SITE SCRIPTING(XSS) 跨站腳本程式攻擊
  25. 25. 使用者查詢資料情境 請幫我查詢編號 123aaa789 的商品是否還有存貨? 不好意思,我們的商品編 號 一律都是 9 位數的數字, 您要不要再確認一次編號?
  26. 26. 使用者查詢資料情境(續) 請幫我查詢編號 123aaa789 的商品是否還有存貨? [系統資訊] 商品編號一律 都是 9 位數的數字,您要 不要再確認一次編號? 請幫我查詢編號 123456789 的商品是否還有存貨? 目前商品還有庫存唷!
  27. 27. XSS - 跨站腳本攻擊 • 攻擊者寫入惡意的 Script (腳本) 讓瀏覽器送回到網頁端 執行 • 也是 Injection (注入攻擊)
  28. 28. XSS - 跨站腳本攻擊 • 惡意攻擊者的行為 • 竊取使用者的身分憑證 • 竊取使用者的資料
  29. 29. 如何預防 XSS • 白名單 • 在 Web 頁面時,建議過濾以下語法 • 在 HTML tag 時,建議過濾以下語法 • 限制輸入字串的長度 < > < > " '
  30. 30. A4 - BROKEN ACCESS CONTROL 存取控制不嚴謹
  31. 31. 存取控制不嚴謹 • 沒有設定使用者權限或設定不嚴謹 • 影響 • 使用未經授權的功能 • 存取其他使用者的帳戶 • 檢視機密檔案 • …
  32. 32. 存取控制不嚴謹 範例 • 跨目錄存取 • 網頁正常語法 • 變更 URL 後方參數 http://www.sample.com/show.php?file=1.html http://www.sample.com/show.php? file=../../../../../etc/passwd
  33. 33. 如何防範 • 不應該直接存取 • 建議設定白名單 • 開放讓外界存取的檔案應存放在固定路徑中 • 存取時再次確認使用者權限
  34. 34. A5 - SECURITY MISCONFIGURATION 不當的安全組態設定
  35. 35. 不當的安全組態設定 • 服務是否有安全性設定的疏失? • 涵蓋層面廣泛 • 作業系統 / 網路 • Web service / Application server / Database server • Framework / Application
  36. 36. 不安全的設定項目 • 過於詳細的錯誤說明 • 管理頁面暴露 • 使用預設的帳號密碼 • …
  37. 37. 如何防範 • 刪除非必要的功能 / 物件 • 例如:測試頁面、範本檔案等 • 已經不再使用的元件 • 關閉不需要的功能 / 服務 • 例如:連接埠、服務、帳號等 • 移除或變更預設的帳號密碼 • 軟體或作業系統是否已更新至最新版本
  38. 38. A6 - SENSITIVE DATA EXPOSURE 敏感資料暴露
  39. 39. 敏感資料暴露 • 敏感性資料在儲存或傳輸過程遭暴露 • 秘密金鑰 • 憑證資料 • 個人資料
  40. 40. 如何預防? • 儲存敏感性資料時應加密 • 使用者傳輸敏感資料時應走加密傳輸協定 • 使用高強度的加密演算法
  41. 41. A7 - INSUFFICIENT ATTACK PROTECTION 攻擊防護的應對不足
  42. 42. 攻擊防護的應對不足 • 注重遭受攻擊時的告警、而非單一弱點 • 探討應用程序被攻擊時的進行的偵測、防護和應對 • 第三方元件的安全性問題 • 搭配資安設備預防常見攻擊 • Intrusion detection systems (IDS) • Web application firewalls (WAF)
  43. 43. A8 - CROSS SITE REQUEST FORGERY (CSRF) 跨站冒名請求
  44. 44. CSRF -跨站冒名請求 • 惡意的 HTTP 指令被當成合法的指令來執行 • 使用者點擊偽造的 URL,藉此被取得其他可被執行的服 務權限
  45. 45. CSRF -跨站冒名請求 範例 • OO銀行的線上轉帳網址 • 攻擊者在QQ網頁放置相同的網址 • 使用者A瀏覽到QQ網頁,且也曾經在瀏覽器上登入過 OO銀行線上系統 • 使用者A的銀行戶頭被轉走1000元 http://www.OObank.com/money?account=AccoutName&amount=1000&for=PayeeNam
  46. 46. 如何預防及防護? • 管理者角度 • 設定 timeout 機制 • 使用者角度 • 勿點擊來路不明的網址和釣魚郵件
  47. 47. A9 - USING COMPONENTS WITH KNOWN VULNERABILITIES 使用已知漏洞元件
  48. 48. 使用已知漏洞元件 • 使用有已知漏洞的元件 • 涵蓋層面也很廣泛 • 作業系統 / 網路 • Web service / Application server / Database server • Framework / Application • 除了更新、還是更新!
  49. 49. A10 - UNDERPROTECTED APIS 未受保護的 APIS
  50. 50. 未受保護的 APIS • Application Programming Interface ( API, 應用程式介面) • 簡化不同系統互相溝通時的介面 • API 有什麼風險? • 權限設定 • 如何保護 API • 白名單 • 過濾有害的字元或惡意語法
  51. 51. 上網時的安全注意事項
  52. 52. 使用者在上網時應注意的事項 • 不要點擊來歷不明的網址 / 釣魚郵件 • 確認網站傳輸時的安全性 • 登入功能 • 查詢敏感性資料 • 帳號管理 • 勿使用弱密碼 • 使用雙重驗證
  53. 53. Q & A

×