同學們，你們想知道常見的網站漏洞有哪些嗎?好奇駭客是如何利用它們來竊取你的帳號、密碼等個人資料嗎?那你絕對不能不知道 OWASP TOP 10！這一場活動將以OWASP TOP 10 作為主軸，帶領各位了解應用系統安全漏洞潛在的威脅和安全問題。

1. Shirley 2017/07
你知道你連線的網站黑黑的嗎

2. 大綱
• 網站是什麼？好吃嗎？
• OWASP
• OWASP TOP 10
• 上網時的安全注意事項

3. 大家覺得
架設一個網站必備什麼

4. 麻瓜認為的
架設網站

6. 周圍朋友認為的
架設網站

8. 略懂資訊的人認為的
架設網站

13. 架設網站需要的

14. • 購買 / 註冊網址
• 準備架網站的空間
• 建置網站的程式
• 設定網站的樣板
• 建立資料庫

15. 這些網站
可能會有什麼風險

16. OWASP

17. OWASP
• OWASP - Open Web Application Security Project (開放Web軟
體安全計畫)
• OWASP TOP 10 – 最常見的十大網路應用系統安全弱點
• 通常大約三~四年更新一次.
• 這次的課程主要探討的是 OWASP TOP 10 的 2017 版本
• 很不幸的在開講前一個月更新了…

18. OWASP TOP 10
A1 - Injection
A2 - Broken Authentication and Session Management
A3 - Cross-Site Scripting(XSS)
A4 - Broken Access Control
A5 - Security Misconfiguration
A6 - Sensitive Data Exposure
A7 - Insufficient Attack Protection
A8 - Cross Site Request Forgery (CSRF)
A9 - Using Components with Known Vulnerabilities
A10 - Underprotected APIs

19. A1 – INJECTION
注入攻擊

20. INJECTION (注入攻擊)

21. INJECTION (注入攻擊)
• 網站應用程式執行來自外部的惡意指令
• 為何會發生 injection？
• 未驗證使用者輸入的資料
• 過濾的方法不當

22. SQL INJECTION 範例
• 找出未受到保護的注入點
• URL 的基本檢測法
• 在後方加上「 and 1=0 」

23. 如何防範 INJECTION 發生？
• 白名單
• 長度、類型、範圍
• 黑名單 (maybe...)

24. A2 - BROKEN AUTHENTICATION AND SESSION
MANAGEMENT
失效的驗證與連線管理

26. 登入網站後，
網站要如何知道你就是你？

27. 失效的驗證與連線管理
1. 輸入帳號密碼
2. 確認身分並提供身分憑證
3. 透過該憑證傳遞資訊

28. 失效的驗證與連線管理
• 如果沒有保護好憑證，會發生…？
• 憑證被竊取
• 憑證可能被猜測出來
• 身分被盜用

29. 失效的驗證與連線管理

30. 如何預防及防護？
• 管理者角度
• 不要對新帳戶使用默認密碼
• 在任何情況下，密碼不得顯示
• 密碼複雜度
• 設定 timeout 機制
• 使用者角度
• 登入時是否使用加密傳輸

31. A3 - CROSS-SITE SCRIPTING(XSS)
跨站腳本程式攻擊

32. 使用者查詢資料情境
請幫我查詢編號 123aaa789
的商品是否還有存貨？
不好意思，我們的商品編
號 一律都是 9 位數的數字，
您要不要再確認一次編號？

33. 使用者查詢資料情境(續)
請幫我查詢編號 123aaa789
的商品是否還有存貨？
[系統資訊] 商品編號一律
都是 9 位數的數字，您要
不要再確認一次編號？
請幫我查詢編號 123456789
的商品是否還有存貨？
目前商品還有庫存唷！

34. XSS - 跨站腳本攻擊
• 攻擊者寫入惡意的 Script (腳本) 讓瀏覽器送回到網頁端
執行
• 也是 Injection (注入攻擊)

35. XSS - 跨站腳本攻擊
• 惡意攻擊者的行為
• 竊取使用者的身分憑證
• 竊取使用者的資料

36. 如何預防 XSS
• 白名單
• 在 Web 頁面時，建議過濾以下語法
• 在 HTML tag 時，建議過濾以下語法
• 限制輸入字串的長度
< >
< > " '

37. A4 - BROKEN ACCESS CONTROL
存取控制不嚴謹

38. 存取控制不嚴謹
• 沒有設定使用者權限或設定不嚴謹
• 影響
• 使用未經授權的功能
• 存取其他使用者的帳戶
• 檢視機密檔案
• …

39. 存取控制不嚴謹 範例
• 跨目錄存取
• 網頁正常語法
• 變更 URL 後方參數
http://www.sample.com/show.php?file=1.html
http://www.sample.com/show.php? file=../../../../../etc/passwd

40. 如何防範
• 不應該直接存取
• 建議設定白名單
• 開放讓外界存取的檔案應存放在固定路徑中
• 存取時再次確認使用者權限

41. A5 - SECURITY MISCONFIGURATION
不當的安全組態設定

42. 不當的安全組態設定
• 服務是否有安全性設定的疏失？
• 涵蓋層面廣泛
• 作業系統 / 網路
• Web service / Application server / Database server
• Framework / Application

43. 不安全的設定項目
• 過於詳細的錯誤說明
• 管理頁面暴露
• 使用預設的帳號密碼
• …

44. 如何防範
• 刪除非必要的功能 / 物件
• 例如：測試頁面、範本檔案等
• 已經不再使用的元件
• 關閉不需要的功能 / 服務
• 例如：連接埠、服務、帳號等
• 移除或變更預設的帳號密碼
• 軟體或作業系統是否已更新至最新版本

45. A6 - SENSITIVE DATA EXPOSURE
敏感資料暴露

46. 敏感資料暴露
• 敏感性資料在儲存或傳輸過程遭暴露
• 秘密金鑰
• 憑證資料
• 個人資料

47. 如何預防？
• 儲存敏感性資料時應加密
• 使用者傳輸敏感資料時應走加密傳輸協定
• 使用高強度的加密演算法

48. A7 - INSUFFICIENT ATTACK PROTECTION
攻擊防護的應對不足

49. 攻擊防護的應對不足
• 注重遭受攻擊時的告警、而非單一弱點
• 探討應用程序被攻擊時的進行的偵測、防護和應對
• 第三方元件的安全性問題
• 搭配資安設備預防常見攻擊
• Intrusion detection systems (IDS)
• Web application firewalls (WAF)

50. A8 - CROSS SITE REQUEST FORGERY (CSRF)
跨站冒名請求

51. CSRF -跨站冒名請求
• 惡意的 HTTP 指令被當成合法的指令來執行
• 使用者點擊偽造的 URL，藉此被取得其他可被執行的服
務權限

52. CSRF -跨站冒名請求 範例
• OO銀行的線上轉帳網址
• 攻擊者在QQ網頁放置相同的網址
• 使用者A瀏覽到QQ網頁，且也曾經在瀏覽器上登入過
OO銀行線上系統
• 使用者A的銀行戶頭被轉走1000元
http://www.OObank.com/money?account=AccoutName&amount=1000&for=PayeeNam

53. 如何預防及防護？
• 管理者角度
• 設定 timeout 機制
• 使用者角度
• 勿點擊來路不明的網址和釣魚郵件

54. A9 - USING COMPONENTS WITH KNOWN
VULNERABILITIES
使用已知漏洞元件

55. 使用已知漏洞元件
• 使用有已知漏洞的元件
• 涵蓋層面也很廣泛
• 作業系統 / 網路
• Web service / Application server / Database server
• Framework / Application
• 除了更新、還是更新！

56. A10 - UNDERPROTECTED APIS
未受保護的 APIS

57. 未受保護的 APIS
• Application Programming Interface ( API, 應用程式介面)
• 簡化不同系統互相溝通時的介面
• API 有什麼風險？
• 權限設定
• 如何保護 API
• 白名單
• 過濾有害的字元或惡意語法

58. 上網時的安全注意事項

59. 使用者在上網時應注意的事項
• 不要點擊來歷不明的網址 / 釣魚郵件
• 確認網站傳輸時的安全性
• 登入功能
• 查詢敏感性資料
• 帳號管理
• 勿使用弱密碼
• 使用雙重驗證

60. Q & A