Session1(更新20230205).pdf

vincentjava@yahoo.com.tw
段維瀚老師製
Session 1 網站安全設計原則

段維瀚老師製
資安問題永遠存在 !

段維瀚老師製
課程大綱
1. Web應用程式設計
• HTTP/HTTPS
• 安全組態設定
• 網站安全設計原則
2. 了解網站基本單元與資安基礎知識
• 攻擊與防禦-揭露 Web 應用程式常見弱點與攻擊手法

段維瀚老師製
Web應用程式架構
展示層
邏輯層
資料層
客戶端
伺服端
客戶端/伺服端

段維瀚老師製

段維瀚老師製
Web應用程式架構
Request 請求
Response 回應

段維瀚老師製
TCP/IP 網路模型
有線網路(乙太網路)、無線網路(Wi-Fi)
網際網路協議(IP)
TCP、UDP、RTP、SCTP 如何有效傳輸
HTTP、FTP 如何包裝數據

段維瀚老師製
TCP/IP 網路模型
資料經過網路模型的處理
方式，先將傳送端的資料
一層層打包完畢之後，送
到網路上傳送。接收端接
受到東西之後，再依相反
順序拆開。

段維瀚老師製
TCP/IP 網路模型
IP 協議對應於網絡層
TCP 協議對應於傳輸層
HTTP 協議對應於應用層
三者從本質上來說是完全不同。
也可以說，TCP/IP協議是傳輸層協議，
主要解決數據如何在網絡中傳輸，
而HTTP是應用層協議，主要解決如何包
裝數據。

段維瀚老師製
TCP/IP 網路模型
TCP 三向交握 (Three-way Handshake)
Client Server
客戶端發送 syn包到服務器，並進入SYN_SEND狀態，等待服務器確認
服務器收到 syn包，必須確認客戶的 syn 包，同時自己也發送一個
SYN包，即 SYN+ACK包，此時服務器進入SYN_RECV狀態;
客戶端收到服務器的SYN+ACK包，向服務器發送確認包 ACK，
此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手。
established
開始傳資料…
Request 請求
Response 回應

段維瀚老師製
HTTP文件
Message part Description
The initial line
status line
裡面包含了 HTTP 的方法，
URI，HTTP 版本與初始狀態
The headers section 根據 HTTP 的方法所包含的標
頭資訊，meta：User-Agent、
Content-Type 或
ContentLength 等 …
Blank line Blank line 你可以當作是
Headers 資料的結束或者是
Headers 與 Message body
的分隔，例如當你要利用GET
或 POST 的方法來送出其他的
資料時，這些額外的資料就會
包裝在 Message body 的區域
而 Blank line 就可以來區隔
Headers 與 Message body
的資料。
Message body 存放 Request 或 Response
的內容，例如：Request 中的
參數或者是 Response 中的
HTML Tag。

段維瀚老師製
HTML
<form method="post"
action="/WebSecure/servlet/login">
Username:
<input type="text" name="username"><br>
Password:
<input type="password" name="password"><br>
<input type="submit" value = "Login" >
</form>
Initial line POST /WebSecure/servlet/login HTTP/1.1
Headers accept : image/gif, , application/x-
shockwave …
accept-language : zh-tw
user-agent : Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1)
host : localhost:8080
connection : Keep-Alive
pragma : no-cache
Blank line
Message body username=john&password=1234
HTTP請求文件

段維瀚老師製
HTML
Initial line HTTP/1.1 200 OK
Headers Date : Tuesday, 10-Feb-23 15:31:59 GMT
Server : Tomcat Web Server / 9.0.18
MIME-version : 1.0
Content-type : text/html
Content-length : 24
Blank line
Message body <html>
Login OK!
</html>
HTTP回應文件
<html>
Login OK!
</html>
Login OK!

段維瀚老師製
開發人員：觀察 Http
Request 請求
Response 回應
觀察！

段維瀚老師製
Lab
設計一個 WebApp
可以支援 Login 登入
<form method="post"
action="/WebSecure/servlet/login">
Username:
<input type="text" name="username"><br>
Password:
<input type="password" name="password"><br>
<input type="submit" value = "Login" >
</form>

段維瀚老師製
監控觀察 HTTP 資訊
段維瀚老師 17
HTTP 資料揭露

段維瀚老師製
Hacker 竊聽
Request 請求
Response 回應
竊聽！
觀察！

段維瀚老師製
SSL/TLS
網景公司（Netscape）在 1994 年推出首版網頁瀏覽器
－網景領航員，之後為讓資料在網路上能更安全傳遞，推
出HTTPS協定，以SSL進行加密，這是SSL的起源。
IETF將SSL進行標準化
1999年公布TLS 1.0標準檔案
2006年公布TLS 1.1

段維瀚老師製
SSL/TLS
傳輸層安全性協定（Transport Layer Security，縮寫
：TLS）及其前身安全通訊協定（Secure Sockets Layer
，縮寫：SSL）
是一種安全協定，目的是為網際網路通訊提供安全及資料完
整性保障。

段維瀚老師製
為何要寫 SSL/TLS 而不是直接寫 SSL 或 TLS
SSL (Secure Sockets Layer)
是由 Netscape 公司開發的網路安全協定，它最初被用來保護網
路數據傳輸。但是由於 SSL 存在安全漏洞，因此在 1999 年被
IETF (Internet Engineering Task Force) 取代。
TLS (Transport Layer Security)
是 SSL 的後續版本，它被設計來修復 SSL 中的安全漏洞。目前
，TLS 是網路安全協定的標準，被用來保護數據傳輸。
因此為了涵蓋到並且更為準確，所以通常會寫成 SSL/TLS，代表網
路安全協定。

段維瀚老師製
SSL HTTP/HTTPS
HTTP 協議
SSL 加密安全層
HTTPS 協議

段維瀚老師製
TLS HTTP/HTTPS
HTTP 協議
TLS 加密 TLS
HTTPS 協議

段維瀚老師製
HTTP/HTTPS
HTTP 協議
SSL 加密安全層
HTTPS 協議
SSL/TLS

段維瀚老師製
Lab
將網站加入 Https
Chrome 解決 http 自動跳轉 https 問題
地址欄輸入：chrome://net-internals/#hsts
找到底部 Delete domain security policies一欄，輸
入想處理的域名，點擊delete。
1 2

段維瀚老師製
監聽 HTTP/HTTPS 資訊
段維瀚老師 26
資料完全被揭露
資料完全被加密

段維瀚老師製
CA 憑證
CA 憑證（Certificate Authority）
是由証明憑證頒發機構（簡稱
CA）頒發的數位證書。
CA 憑證是用來確認網站或應
用程式的身份，並且確保通訊
過程中的保密性和完整性。

段維瀚老師製
CA 憑證機構
CA 憑證是由頒發機構頒發，頒發機構需要經過嚴格的審核
程序，才能被授予頒發 CA 憑證的資格。
常見的 CA 憑證頒發機構包括 DigiCert、GlobalSign、
Comodo、GoDaddy 等。

段維瀚老師製
憑證 CA 指紋
憑證 CA 指紋
(Certificate Authority
Fingerprint) 是一種憑證
驗證的方法，用來確認憑證
是否為某個特定的證書頒發
機構 (CA) 頒發的。

段維瀚老師製
憑證 CA 指紋 – 內容
CA 指紋是一串由字元和數
字組成的字串，它是根據憑
證中的公鑰計算出來的，可
以用來唯一地識別憑證。

段維瀚老師製
憑證 CA 指紋 - 比對
當瀏覽器發現一個網站使用了
SSL / TLS 憑證時，它會將憑
證中的 CA 指紋與其本地存儲
的 CA 指紋清單進行比對。如
果兩者相同，則瀏覽器會認為
憑證是合法的，並顯示網站已
經通過驗證。如果不同，則瀏
覽器會顯示警告，提示用戶有
可能遭遇偽造的網站。

段維瀚老師製
憑證 CA 指紋 – 演算法
為何要有 SHA-256 指紋與
SHA-1 二種演算法 ?
可相容於不同瀏覽器版本
舊版多使用：SHA-1
新版多使用：SHA-256

段維瀚老師製
Strict-Transport-Security (HSTS)

段維瀚老師製
是一個 HTTP 協議的標頭，用於強制瀏覽器使用安全連接
（HTTPS）連接到網站。
當瀏覽器第一次連接到 HSTS 啟用的網站時，它將收到一個
HSTS 標頭，指示瀏覽器將這個網站視為安全的，並強制使
用 HTTPS 而不是明文傳輸協定（HTTP）。
瀏覽器將在一段指定的時間內記住此信息，在此期間內連接
到該網站時，瀏覽器將強制使用 HTTPS，即使用戶試圖使用
HTTP 連接。

段維瀚老師製
使用 HSTS 可以防止網站的中間人攻擊和傳輸加密，並提
高網站的安全性。
但是，網站開發人員必須小心，因為 HSTS 強制瀏覽器使用
HTTPS 瀏覽你的網站(或子網站)，一旦啟用就無法更改。
因此，開發人員必須確保它們的網站始終可以使用 HTTPS
安全連接（避免HTTP/HTTPS混用），否則用戶將無法連接
到你的網站。

段維瀚老師製
Apache Tomcat 配置 HSTS
HttpHeaderSecurityFilter
最早出現在 Tomcat 8.0.23
Tomcat 9.x 產生標頭回應
Strict-Transport-Security
X-Frame-Options
X-Content-Type-Options
X-XSS-Protection
這四個標頭都是重要的網站安全措施，可以有效防止常見的攻擊威脅，並保證
用戶的數據和隱私得到保護。

段維瀚老師製
HSTS Header 配置說明
Strict-Transport-Security
用於強制瀏覽器使用安全連接
（HTTPS）連接到網站。例如：
Strict-Transport-Security: max-age=31536000;includeSubDomains
這個標頭指示瀏覽器在一年（31536000 秒）內強制使用 HTTPS 訪問網站和其子域。

段維瀚老師製
X-Frame-Options
用於防止網站被置於框架中
（也稱為 "clickjacking" 攻擊）
X-Frame-Options: DENY
這個標頭指示瀏覽器不允許網站被置於框架中，以防止攻擊者偽造用戶界面來獲取
敏感信息。

段維瀚老師製
X-Content-Type-Options
用於防止 MIME 偽造攻擊。
X-Content-Type-Options: nosniff
這個標頭指示瀏覽器不應該根據檔案內容自動檢測 MIME 類型，而應該按照標頭中
指定的類型進行處理。這可以防止攻擊者利用 MIME 偽造來注入恶意代碼。

段維瀚老師製
X-XSS-Protection
用於防止跨站執行腳本 (XSS) 攻擊。
X 是指 Cross-Site Scripting 的縮寫
X-XSS-Protection: 1; mode=block
"1" 表示瀏覽器應啟用 XSS 保護。
mode=block: (封鎖)如果瀏覽器檢測到 XSS 攻擊，它會阻止頁面的輸出，以防止惡意腳本的執行。
mode=sanitize: (消毒)如果瀏覽器檢測到 XSS 攻擊，它會對頁面的輸出進行清理，以消除惡意腳本的影響。

段維瀚老師製
Tomcat 配置
conf/web.xml
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>hstsEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>hstsMaxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>hstsIncludeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
REQUEST: 表示只有在當前的請求中執行過濾器。
FORWARD: 表示在對請求進行轉發時執行過濾器。
INCLUDE: 表示在對請求進行包含時執行過濾器。
ERROR: 表示當出現錯誤時執行過濾器。

段維瀚老師製
資訊安全要素

段維瀚老師製
駭客攻擊手段
站台入侵
阻斷服務攻擊
殭屍網路
零時差攻擊
網路釣魚
社交工程
APT 能否抵擋？

段維瀚老師製
駭客攻擊手段
站台入侵
APT 能否抵擋？

段維瀚老師製
APT攻擊
Advanced Persistent Threats
持續性滲透攻擊
針對特定目標所進行的長期持續性的網路攻擊行為，攻擊手
法可以是相當先進且細膩，讓人難以防範，具備高度隱匿特
性，長期潛伏與滲透
Spear Phishing
魚叉式釣魚郵件為 APT 最常見的入侵方法之一
透過高針對性客製化設計，以特定的收件人為目標，從社交網路取得收
件人的信息，降低戒心，誘騙收件人開啟 email 或附件

段維瀚老師製
Spear Phishing 魚叉式攻擊

段維瀚老師製
駭客攻擊手段
站台入侵
阻斷服務攻擊
APT 能否抵擋？

段維瀚老師製
DoS 阻斷服務攻擊
造成目標站台無法正常提供
服務，輕則讓服務效能下降
，重則導致服務完全停擺
消耗網路頻寬
消耗系統資源
DDos 分散式阻斷服務攻擊

段維瀚老師製
駭客攻擊手段
站台入侵
阻斷服務攻擊
殭屍網路
APT 能否抵擋？

段維瀚老師製
殭屍網路
駭客植入惡意程式在受害者電腦中
，該電腦就稱為殭屍電腦（Bot）
這種惡意程式因為會自行複製與主動散
播，會隨著 email、通訊軟體、電腦
系統漏洞尋找新的宿主。如此駭客就可
已輕易控制多台殭屍電腦，並集結而成
「殭屍網路」
近年來物聯網 iOT 興起，物聯網系統成
為殭屍電腦是最為棘手的。
物聯網 iOT 也是駭客最愛攻擊的目標。

段維瀚老師製
駭客攻擊手段
站台入侵
阻斷服務攻擊
殭屍網路
零時差攻擊
APT 能否抵擋？

段維瀚老師製
Zero-day Attack 零時差攻擊
利用尚未修補的漏洞(系統空窗期)進行攻擊
開發廠商補丁的速度會影響零時差攻擊時間的長短
虛擬修補(Vitual Patching)
在廠商修復漏洞的這段期間，可以先透過網頁程式防火牆(WAF)先過濾
可以連線與存取行為，並配合透過沙箱分析機制以檢測惡意程式，提早
進行攔截與阻擋，雖然並沒有針對問題本身進行修補，但可以有效爭取
更多修補更新的時間。

段維瀚老師製
Zero-day Attack 零時差攻擊
時間
發現漏洞駭客攻擊釋出補丁修補更新
有效攻擊時間

段維瀚老師製
社交工程-人往往就是安全性最薄弱的環節
網路釣魚是常見的社交工程手法
中獎頁面、抽獎廣告、法院通知文件等或透過你的好友通知
自動將惡意包裝成doc、xls、ppt下載並誘騙使用者點擊
因為檔案內含有惡意巨集程式因此就被感染
網址誘騙
www.gov.tw (正常網址)
www.g0v.tw (詐騙網址)
www.101.com (正常網址)
www.l0l.com (詐騙網址)
admin@compony.com (正常email)
admin@connpony.com (詐騙email)

段維瀚老師製
駭客攻擊手段
站台入侵
阻斷服務攻擊
殭屍網路
零時差攻擊
網路釣魚
社交工程
安全
防護
APT

段維瀚老師製
資訊安全三要素
A. 機密性(Confidentiality)
• 資料不得被未經過授權的使用者
取得或揭露其特性
B. 完整性(Integrity)
• 資料或程序在傳輸或儲存過程中
，不得被未經授權的竄改
C. 可用性(Availability)
• 確保資料能讓已授權的使用者能
時存取與使用的特性
威脅編號資安威脅要素被破壞
T1 網路傳輸資料內容外洩
T2 資料庫機密內容外洩
T3 網頁內容遭竄改
T4 站台被植入惡意程式
T5 系統資源耗盡，服務停擺
(網路頻寬、儲存空間)
T6 天災人禍造成系統主機損毀
A
A
B
B
C
C

段維瀚老師製
資安威脅風險值計算
A 機密性、B 完整性、C 可用性
威脅編號資安威脅要素
T1 網路傳輸資料內容外洩 A
T2 資料庫機密內容外洩 A
T3 網頁內容遭竄改 B
T4 站台被植入惡意程式 B
T5 系統資源耗盡，服務停擺
C
T6 天災人禍造成系統主機損毀 C
發生機率
影響程度
極可能
(3分)
可能
(2分)
較不可能
(1分)
極嚴重
(3分)
嚴重
(2分)
一般
(1分)
T1(4分)
T2(9分)
T3(2分)
T4(3分) T5(1分)
T6(2分)

段維瀚老師製
設計安全控制措施
A 機密性、B 完整性、C 可用性
威脅編號風險值資安威脅要素風險處理方式
T1 4 網路傳輸資料內容外洩 A
T2 9 資料庫機密內容外洩 A
T3 2 網頁內容遭竄改 B
T4 3 站台被植入惡意程式 B
T5 1 系統資源耗盡，服務停擺
C
T6 2 天災人禍造成系統主機損毀 C
全站啟用HTTPS
1. 機密內容加密後儲存
2. 有權限的使用者或程序才可存取資料庫
加強使用者輸入之檢查與行為追蹤
實作上傳資料驗證機制
若專案預算有限，保留此風險，當服務停擺重新啟動
若專案預算有限，保留此風險，重新購置或轉雲端

段維瀚老師製
網站安全設計原則
著名講者
Eoin Woods 以他多年經驗，
歸納10條安全設計原則。無
論是專案經理或是工程師，
這部影片都能讓你有所收穫

段維瀚老師製
網站安全設計原則
1. 最小權限原則
2. 責任分離原則
3. 不輕易相信原則
4. 採用最簡單原則
5. 記錄敏感事件
6. 不安全的預設值
7. 不依賴混淆
8. 深層防禦
9. 避免自創安全機制
10.尋找脆弱環節

段維瀚老師製
1.最小權限原則
• 相信大家都曾有過這樣的經驗，每個工程師都拿sudo權限
，都有權限改系統設定，造成環境的混亂。
• 應該要給大家盡量小的權限，讓大家能夠完成任務即可，
不要拿過多的權限。

段維瀚老師製
2.責任分離原則
• 不管是在商業邏輯層級或是系統層級，都應該做到責任分
離。例如：付款模組跟訂單模組應該要分開，前端介面跟
後端資料庫要分開，各司其職。
• 這樣的原則跟出納跟會計要分開很像，責任分離避免安全
性的疑慮。

段維瀚老師製
3.不輕易相信原則
• 任何未知的連接都應該視為不可被信任的。
• 舉一個Message Queue的案例來說，我們不應該輕易相信每
一個連線。

段維瀚老師製
4.採用最簡單原則
若是安全設計太複雜，便很難被大家理解，而大家無法理
解的話，就會很難正確執行。

段維瀚老師製
5.記錄敏感事件
• 至少當系統出事的時候，可以知道發生了什麼事情。
• 這些 Log 需要放在更安全的地方，權限也要做另外的控管。

段維瀚老師製
6.不安全的預設值
• 大部分的人都不會更改預設的帳號密碼，當系統安裝完後
，就使用預設的帳密做事，這樣是很危險的。
• 你們家裡的買的wifi分享器，密碼都改了嗎 ?

段維瀚老師製
7.不依賴混淆
• 「混淆」機制有很多種，例如：更換 port 號, 混淆程式碼
等等。
• 不要過度依賴這些方式來防禦，因為既然是人做的混淆，
總有可能被暴力猜中。

段維瀚老師製
8.深層防禦
• 就像古代的城堡有很多層防禦，系統的防禦也應該從 UI,
API, Database 都作防禦。
• 避免被駭客單點突破後，整個系統就被予取予求。

段維瀚老師製
9.避免自創安全機制
自行發明東西很酷！但是不要用在自己發明安全機制，例
如：不要自己發明加密演算法，因為你設計的東西很難一
次就完美。

段維瀚老師製
10.尋找脆弱環節
• 應該主動地去找尋系統的弱點，然後改進它。
• 缺點是會花費很多時間和成本。

段維瀚老師製
落實安全的網站設計
上述這10項原則只要有開發經驗的人都可以產生共鳴，但
是落實就必須要靠資安管理稽核來進行。
另外專案Delay要罰錢了、趕快進度、先上了再說、或有即
時性的需求往往便宜行事（或將資安問題往後擺）程式碼不
嚴謹、也是會造成資安漏洞。
任何上線前的程式一定要通過資安檢測!

段維瀚老師製
補充：網頁應用防火牆（WAF）
什麼是WAF
網頁應用防火牆（WAF）是一種特殊
形式的應用層級防火牆(Web
Application Firewall)，用來過
濾、監控和阻擋，從Web服務進出的
HTTP流量。
通過檢查HTTP流量，它可以防止利
用Web應用程序的已知漏洞的攻擊，
例如SQL注入，跨站點腳本（XSS）
和不正確的系統配置。

段維瀚老師製
Apache Tomcat下常用的 WAF
ModSecurity
是一款開源的WAF，可以與Apache、Nginx和IIS等Web服務器一起使用，也可以單獨使用。
NAXSI
NAXSI是一款開源的Nginx插件，提供了強大的防護性能，可以與Tomcat一起使用。
WebKnight
WebKnight是一款商業的WAF，可以通過Apache和IIS代理來保護Tomcat應用。
Sucuri Firewall
Sucuri Firewall是一款商業的WAF，提供了全面的防禦能力，可以與任何Web應用一起使用
，包括Tomcat。
Cloudflare
Cloudflare 是一款商業的CDN服務，也提供了WAF功能，可以與Tomcat一起使用。

Session1(更新20230205).pdf

Recommended

Recommended

More Related Content

Similar to Session1(更新20230205).pdf

Similar to Session1(更新20230205).pdf (20)

Session1(更新20230205).pdf