Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎

同學們,你們想知道常見的網站漏洞有哪些嗎?好奇駭客是如何利用它們來竊取你的帳號、密碼等個人資料嗎?那你絕對不能不知道 OWASP TOP 10!這一場活動將以OWASP TOP 10 作為主軸,帶領各位了解應用系統安全漏洞潛在的威脅和安全問題。

  • Be the first to comment

HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎

  1. 1. Shirley 2017/07 你知道你連線的網站黑黑的嗎
  2. 2. 大綱 • 網站是什麼?好吃嗎? • OWASP • OWASP TOP 10 • 上網時的安全注意事項
  3. 3. 大家覺得 架設一個網站必備什麼
  4. 4. 麻瓜認為的 架設網站
  5. 5. 周圍朋友認為的 架設網站
  6. 6. 略懂資訊的人認為的 架設網站
  7. 7. 架設網站需要的
  8. 8. • 購買 / 註冊網址 • 準備架網站的空間 • 建置網站的程式 • 設定網站的樣板 • 建立資料庫
  9. 9. 這些網站 可能會有什麼風險
  10. 10. OWASP
  11. 11. OWASP • OWASP - Open Web Application Security Project (開放Web軟 體安全計畫) • OWASP TOP 10 – 最常見的十大網路應用系統安全弱點 • 通常大約三~四年更新一次. • 這次的課程主要探討的是 OWASP TOP 10 的 2017 版本 • 很不幸的在開講前一個月更新了…
  12. 12. OWASP TOP 10 A1 - Injection A2 - Broken Authentication and Session Management A3 - Cross-Site Scripting(XSS) A4 - Broken Access Control A5 - Security Misconfiguration A6 - Sensitive Data Exposure A7 - Insufficient Attack Protection A8 - Cross Site Request Forgery (CSRF) A9 - Using Components with Known Vulnerabilities A10 - Underprotected APIs
  13. 13. A1 – INJECTION 注入攻擊
  14. 14. INJECTION (注入攻擊)
  15. 15. INJECTION (注入攻擊) • 網站應用程式執行來自外部的惡意指令 • 為何會發生 injection? • 未驗證使用者輸入的資料 • 過濾的方法不當
  16. 16. SQL INJECTION 範例 • 找出未受到保護的注入點 • URL 的基本檢測法 • 在後方加上「 and 1=0 」
  17. 17. 如何防範 INJECTION 發生? • 白名單 • 長度、類型、範圍 • 黑名單 (maybe...)
  18. 18. A2 - BROKEN AUTHENTICATION AND SESSION MANAGEMENT 失效的驗證與連線管理
  19. 19. 登入網站後, 網站要如何知道你就是你?
  20. 20. 失效的驗證與連線管理 1. 輸入帳號密碼 2. 確認身分並提供身分憑證 3. 透過該憑證傳遞資訊
  21. 21. 失效的驗證與連線管理 • 如果沒有保護好憑證,會發生…? • 憑證被竊取 • 憑證可能被猜測出來 • 身分被盜用
  22. 22. 失效的驗證與連線管理
  23. 23. 如何預防及防護? • 管理者角度 • 不要對新帳戶使用默認密碼 • 在任何情況下,密碼不得顯示 • 密碼複雜度 • 設定 timeout 機制 • 使用者角度 • 登入時是否使用加密傳輸
  24. 24. A3 - CROSS-SITE SCRIPTING(XSS) 跨站腳本程式攻擊
  25. 25. 使用者查詢資料情境 請幫我查詢編號 123aaa789 的商品是否還有存貨? 不好意思,我們的商品編 號 一律都是 9 位數的數字, 您要不要再確認一次編號?
  26. 26. 使用者查詢資料情境(續) 請幫我查詢編號 123aaa789 的商品是否還有存貨? [系統資訊] 商品編號一律 都是 9 位數的數字,您要 不要再確認一次編號? 請幫我查詢編號 123456789 的商品是否還有存貨? 目前商品還有庫存唷!
  27. 27. XSS - 跨站腳本攻擊 • 攻擊者寫入惡意的 Script (腳本) 讓瀏覽器送回到網頁端 執行 • 也是 Injection (注入攻擊)
  28. 28. XSS - 跨站腳本攻擊 • 惡意攻擊者的行為 • 竊取使用者的身分憑證 • 竊取使用者的資料
  29. 29. 如何預防 XSS • 白名單 • 在 Web 頁面時,建議過濾以下語法 • 在 HTML tag 時,建議過濾以下語法 • 限制輸入字串的長度 < > < > " '
  30. 30. A4 - BROKEN ACCESS CONTROL 存取控制不嚴謹
  31. 31. 存取控制不嚴謹 • 沒有設定使用者權限或設定不嚴謹 • 影響 • 使用未經授權的功能 • 存取其他使用者的帳戶 • 檢視機密檔案 • …
  32. 32. 存取控制不嚴謹 範例 • 跨目錄存取 • 網頁正常語法 • 變更 URL 後方參數 http://www.sample.com/show.php?file=1.html http://www.sample.com/show.php? file=../../../../../etc/passwd
  33. 33. 如何防範 • 不應該直接存取 • 建議設定白名單 • 開放讓外界存取的檔案應存放在固定路徑中 • 存取時再次確認使用者權限
  34. 34. A5 - SECURITY MISCONFIGURATION 不當的安全組態設定
  35. 35. 不當的安全組態設定 • 服務是否有安全性設定的疏失? • 涵蓋層面廣泛 • 作業系統 / 網路 • Web service / Application server / Database server • Framework / Application
  36. 36. 不安全的設定項目 • 過於詳細的錯誤說明 • 管理頁面暴露 • 使用預設的帳號密碼 • …
  37. 37. 如何防範 • 刪除非必要的功能 / 物件 • 例如:測試頁面、範本檔案等 • 已經不再使用的元件 • 關閉不需要的功能 / 服務 • 例如:連接埠、服務、帳號等 • 移除或變更預設的帳號密碼 • 軟體或作業系統是否已更新至最新版本
  38. 38. A6 - SENSITIVE DATA EXPOSURE 敏感資料暴露
  39. 39. 敏感資料暴露 • 敏感性資料在儲存或傳輸過程遭暴露 • 秘密金鑰 • 憑證資料 • 個人資料
  40. 40. 如何預防? • 儲存敏感性資料時應加密 • 使用者傳輸敏感資料時應走加密傳輸協定 • 使用高強度的加密演算法
  41. 41. A7 - INSUFFICIENT ATTACK PROTECTION 攻擊防護的應對不足
  42. 42. 攻擊防護的應對不足 • 注重遭受攻擊時的告警、而非單一弱點 • 探討應用程序被攻擊時的進行的偵測、防護和應對 • 第三方元件的安全性問題 • 搭配資安設備預防常見攻擊 • Intrusion detection systems (IDS) • Web application firewalls (WAF)
  43. 43. A8 - CROSS SITE REQUEST FORGERY (CSRF) 跨站冒名請求
  44. 44. CSRF -跨站冒名請求 • 惡意的 HTTP 指令被當成合法的指令來執行 • 使用者點擊偽造的 URL,藉此被取得其他可被執行的服 務權限
  45. 45. CSRF -跨站冒名請求 範例 • OO銀行的線上轉帳網址 • 攻擊者在QQ網頁放置相同的網址 • 使用者A瀏覽到QQ網頁,且也曾經在瀏覽器上登入過 OO銀行線上系統 • 使用者A的銀行戶頭被轉走1000元 http://www.OObank.com/money?account=AccoutName&amount=1000&for=PayeeNam
  46. 46. 如何預防及防護? • 管理者角度 • 設定 timeout 機制 • 使用者角度 • 勿點擊來路不明的網址和釣魚郵件
  47. 47. A9 - USING COMPONENTS WITH KNOWN VULNERABILITIES 使用已知漏洞元件
  48. 48. 使用已知漏洞元件 • 使用有已知漏洞的元件 • 涵蓋層面也很廣泛 • 作業系統 / 網路 • Web service / Application server / Database server • Framework / Application • 除了更新、還是更新!
  49. 49. A10 - UNDERPROTECTED APIS 未受保護的 APIS
  50. 50. 未受保護的 APIS • Application Programming Interface ( API, 應用程式介面) • 簡化不同系統互相溝通時的介面 • API 有什麼風險? • 權限設定 • 如何保護 API • 白名單 • 過濾有害的字元或惡意語法
  51. 51. 上網時的安全注意事項
  52. 52. 使用者在上網時應注意的事項 • 不要點擊來歷不明的網址 / 釣魚郵件 • 確認網站傳輸時的安全性 • 登入功能 • 查詢敏感性資料 • 帳號管理 • 勿使用弱密碼 • 使用雙重驗證
  53. 53. Q & A

    Be the first to comment

    Login to see the comments

  • ssuser700b9e

    Jul. 16, 2017
  • rexhlliu

    Feb. 17, 2021

同學們,你們想知道常見的網站漏洞有哪些嗎?好奇駭客是如何利用它們來竊取你的帳號、密碼等個人資料嗎?那你絕對不能不知道 OWASP TOP 10!這一場活動將以OWASP TOP 10 作為主軸,帶領各位了解應用系統安全漏洞潛在的威脅和安全問題。

Views

Total views

2,180

On Slideshare

0

From embeds

0

Number of embeds

1,411

Actions

Downloads

28

Shares

0

Comments

0

Likes

2

×