基礎網頁程式攻擊檢驗 希望大家有能力透過工具找出弱點修補 Hiiir - Taien 內部資安講座 1011212 Taien Wang

1. Taien內部資安講座 I
基礎網頁程式攻擊檢驗
2012.12.12 @ Hiiir Inc.
Taien Wang<taien_wang@hiiir.com>
英屬維京群島商時間軸科技股份有限公司新創事業部

2. 網頁程式攻擊與防範
• 常見弱點
• 弱點掃描工具
• 基本架構防禦
• 推薦書籍

3. 駭客看到的？

4. 常用弱點
非官方網頁應用程式安全組織 OWASP
OWASP 2007 10大弱點 OWASP 2010 10大弱點
1 跨站腳本攻擊 (XSS) 注入攻擊
2 注入攻擊 跨站腳本攻擊(XSS)
3 惡意程式執行 身分驗證功能缺失
4 不安全的物件參考 不安全的物件參考
5 跨站請求偽造(CSRF) 跨站請求偽造(CSRF)
6 程式碼錯誤訊息外漏 安全性設定疏失
7 身分驗證功能缺失 未加密的儲存設備
8 未加密的儲存設備 無權限的URL控制
9 不安全的網路連練 不安全的傳輸防護
10 無權限的URL控制 未驗證的導向

5. 常見的網路攻擊
• 注入(Injection)
– SQL注入(SQL Injection)
– 命令注入(Command Injection)
– LDAP注入(LDAP Injection)
• 跨網站腳本(Cross-Site Script)
• 跨網站請求偽造(Cross-Site Request Forgery, CSRF)
• Cookie挾持/偽造(Cookie, Session Hijacking/Spoofing)
• 跳脫目錄(Escape Directory)
• 上傳過濾(Upload Filter)
• 遠端檔案引入(Remote File Inclusion)
• 非驗證重導/重送(Unvaildated Redirects and Forwards)

6. 弱點掃描工具
• OWASP Zed Attack Proxy Project
• Paros
• Nikto
• Google skipfish
• Burp Suite
• Shadow Security Scanner
• Acunetix Web Vulnerability Scanner
• Xscan
• NeXpose
• Nessus

7. 基本防禦架構
• Model(商業模型)
– 白名單、資料淨化
– 拋出錯誤
• View
– 客戶端Script檢查
– XSS、CSRF/XSRF
• Controller
– 接收欄位檢查必要欄位
– 處理錯誤

8. 範例(1/2)

9. 範例(2/2)

10. 未來上線必要流程
OWASP弱點測試報告書

11. 推薦書籍
• 程式開發安全
– 網路竟然這麼危險！阿里巴巴首席安全專家教你全方位保護網站
– 網頁程式駭客攻防實戰－以 PHP 為例
– The Web Application Hacker’s Handbook
– Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions
– Web 2.0 Security - Defending AJAX, RIA, AND SOA
– OWASP Testing Guide
– OWASP Code Review Guide
– The Database Hacker's Handbook Defending Database Servers
• 軟體安全開發架構
– Software Security: Building Security In
– Secure Software Development Life Cycle, SSDLC

12. 網路攻擊與防禦系列分享
• 主題: 網頁程式攻擊與防範
– 2012.12.12 10:30-11:30
• 主題: 安全的開發流程
– 2013.01.16 10:30-11:30
• 主題: 網路攻擊詳解(一)
– 用戶端攻擊與防禦
– 2013.02.05 10:30-11:30
• 主題: 網路攻擊詳解(二)
– 伺服器端攻擊與防禦
• 主題: 存取控制與加密演算法