More Related Content Similar to 議題三:政府網站常見弱點與分析 Similar to 議題三:政府網站常見弱點與分析 (20) More from Nicolas su (17) 議題三:政府網站常見弱點與分析4. 【內部使用】
前言
Ÿ 2010中國企業安全報告
− 25萬個網站遭植入病毒或木馬
− 90%的傳統企業內部網路曾被入侵
Ÿ 2010年12月資安人雜誌
− 某網路銀行遭駭客入侵,外洩超過16,000筆客戶資料
Ÿ 2011年3月CNCERT報告
− 有4,635個政府網站遭入侵
3
6. 【內部使用】
OWASP
Ÿ Open Web Application Security Project = OWASP
Ÿ Feature
− Open Foundry
− Non-Profit Organization
− Develop tools and documents project
Ÿ Tools & Documentation
− WebScarab
− WebGoat
− Top Ten
− Testing Guide
5
7. 【內部使用】
OWASP Testing Guide Project(1/2)
Ÿ Goal
− Create a “Best practice” web application penetration
testing framework which user can implement in their own
organization
− A low level web application penetration testing guide that
describe how to find certain issues
Ÿ Web Application Penetration Testing
− Information Gathering
− Configuration、Session Management、Authentication、
Authorization、Business Logic、Data Validation、DoS
、Web Service、Ajax
6
8. 【內部使用】
OWASP Testing Guide Project(2/2)
測試項目 測試項目
測試類型 測試類別 測試類型 測試類別
數量 數量
作業系統 遠端服務 1 Web Service 5
本機服務 1 Ajax 1
網站服務 設定管理 7 應用程式 電子郵件服務套件 1
使用者認證 4 網站服務套件 1
連線管理 5 檔案傳輸服務套件 2
使用者授權 3 遠端連線服務套件 4
邏輯漏洞 1
網路服務套件 3
輸入驗證 9
密碼破解 密碼強度測試 1
7
9. 【內部使用】
測試資料
Ÿ 資料來源
− 98年4月 ~ 100年3月
− 73個網站,474個弱點
測試類型 數量 百分比
網站服務 465個 98.11%
密碼破解 5個 1.05%
作業系統 2個 0.42%
應用程式 2個 0.42%
8
10. 【內部使用】
弱點分類
測試類別 說明 測試類別 說明
•顯示錯誤資訊弱點 •網站功能設計缺失弱點
設定管理 邏輯漏洞
•網站結構資訊洩露弱點 •附件上傳弱點
使用者認證 •帳號列舉弱點 •XSS弱點
輸入驗證
連線管理 •連線管理機制弱點 •SQL Injection弱點
•目錄跨越弱點 Web Service •XML資料處理弱點
使用者授權
•網站授權機制弱點 Ajax •Ajax弱點
9
11. 【內部使用】
弱點分類統計
SQL Injection
測試類別 數量 百分比 XSS
輸入驗證 220個 47.31%
錯誤訊息 Directory Index
設定管理 170個 36.56%
使用者授權 46個 9.89%
邏輯漏洞 23個 4.95%
使用者認證 5個 1.08%
連線管理 1個 0.22%
10
17. 【內部使用】
98年與99年弱點差異分析(1/3)
Ÿ 98年4月~99年3月 Ÿ 99年4月~100年3月
Ÿ 50個網站(408個弱點) Ÿ 23個網站(57個弱點)
測試類別 數量 百分比 測試類別 數量 百分比
輸入驗證 197個 48.28% 輸入驗證 23個 40.35%
設定管理 156個 38.24% 設定管理 14個 24.56%
使用者授權 34個 8.33% 使用者授權 12個 21.05%
邏輯漏洞 17個 4.17% 邏輯漏洞 6個 10.53%
使用者認證 4個 0.98% 使用者認證 1個 1.75%
連線管理 1個 1.75%
16
19. 【內部使用】
98年與99年弱點差異分析(3/3)
Ÿ 蒐集73個台灣網站的465個網站服務弱點
− 仿照OWASP Testing Guide分為8個類別
− 主要分布於輸入驗證類別、設定管理類別及使用者授
權類別等3個類別,約占網站服務弱點的93.76%
Ÿ 探討98年與99年 測試類別 98年 99年
弱點差異探討 設定管理 38.24% 24.56%
輸入驗證 48.28% 40.35%
邏輯漏洞 4.17% 10.53%
使用者授權 8.33% 21.05%
18
20. 【內部使用】
如何確保網站的安全
Ÿ 上線前
− 進行網頁程式原始碼檢測
− 移除測試用的資料與備份的程式碼
− 確認網頁伺服器之安全性 (正確的設定+安裝安全性更
新)
Ÿ 上線後
− 建置網頁型防火牆
− 定期進行弱點掃描與滲透測試
− 針對檢測結果調整防火牆設定
19
22. 戰術化滲透測試 (Advanced 【內部使用】
Persistent Threats, APT)
Ÿ 傳統滲透測試
− 針對特定服務或弱點
− 通常無事先規劃測試方針
− 測試效能與效率較不顯著
Ÿ 戰術化滲透測試
− 測試前蒐集目標資訊
− 根據目標資訊擬定測試方針
− 測試效能與效率較高
21
24. 【內部使用】
研究與偵查目標(分析目標)
Ÿ 受測目標資訊
− IP、作業系統、伺服器版本及實體位置等資訊
− 相關人員資訊 ,如管理者姓名、職稱及電話等資訊
− 信賴關係
Ÿ 利用網際網路資源
− 低成本,多為免費資源
− 低風險,受測目標不易察覺
− 高價值,可取得大量資料
23
28. 【內部使用】
進行滲透
Ÿ APT攻擊
− 針對特定目標
− 持續性攻擊
− 具有PDCA特性
Ÿ 魚叉式網路釣魚(Spear Phishing)
− APT攻擊常用之手法
− 針對公司或組織特定人士
− 發送真偽難辨之社交工程郵件
27
29. 【內部使用】
魚叉式網路釣魚(Spear Phishing)
Ÿ 經常搭配PDF文件進行攻擊
− PDF內建多種可被利用之元件
− 如Launch、OpenAction、Java Script及Flash等
Ÿ 惡意Java Applet
− 假冒簽章進行簽核
− 不易防範
Ÿ 根據不同公司或組織設計社交工程文件
− 模仿公司或組織之公開文件
− 發送給特定人士
28
34. 【內部使用】
Android上七大威脅 (1/2)
Ÿ Intents假冒(Intents Spoofing)
− 惡意的應用程式偽造Intents,傳送Intents至其他應用
程式,造成資料注入或狀態改變的後果
Ÿ 查詢字串注入(Query String Injection)
− 應用程式沒有嚴格限制輸入來源時與輸入內容時,
可以讓惡意應用程式存取非授權的資料
Ÿ 未授權Intents攔截(Unauthorized Intent Receipt)
− 惡意程式可能中途攔截正常傳送的Intents,並且從
中竊取重要資料
33
35. 【內部使用】
Android上七大威脅 (2/2)
Ÿ 持續發送廣播(Persistent Messages:Sticky Boardcasts)
− 惡意程式傳送不正常的廣播至其他應用程式
Ÿ 不安全的儲存(Insecure Storage)
− 目前存放於SD卡之資料無存取限制
Ÿ 不安全的通訊(Insecure Communication)
− 部分應用程式傳送封包至網際網路時並未進行加密
Ÿ 需求過大權限應用程式(Overprivileged Applications)
− 應用程式要求取得不需使用之手機存取權限
34
37. 【內部使用】
臉書上的臉孔 – 強化實體隱私
Ÿ 每個月有超過25億張照片被上傳至Facebook上
Ÿ Google、Apple及Facebook等公司都有在研究臉
部辨識相關技術
Ÿ 雲端技術的發展
Ÿ 個人隱私是否受到威脅?
36
42. 【內部使用】
檢測工具可檢測項目
工具名稱 V1 V2 V3 V4 V5 V6 V7 V8 V9 V10
Grendel-scan ■ ■ ■ ■ ■
Nessus ■ ■ ■ ■
Burp Suite ■ ■ ■ ■
THC-hydra ■
W3af ■ ■ ■ ■ ■ ■ ■
Wikto ■ ■ ■ ■
V1:跨網站的入侵字串 V6:備份檔案
V2:注入碼攻擊 V7:弱密碼
V3:惡意檔案執行 V8:不安全的伺服器設定
V4:資訊揭露與不適當錯誤處置 V9:不安全的伺服器版本
V5:疏於限制URL存取 V10:不安全的應用程式套件
41
43. 【內部使用】
Burp Suite
Ÿ Burp Suite是一套由JAVA撰寫而成的Web proxy
,可針對XSS與SQL Injection等弱點進行檢測
Ÿ 版本
− Burp Suite v1.4.01 freeware version
Ÿ 工具來源:http://portswigger.net/suite/
Ÿ 執行環境:Windows+ JDK(or JRE)
Ÿ 工具介面:圖形介面
42
44. 【內部使用】
優缺點與限制
Ÿ 優點
− 利用proxy對網站做spider,所以只要瀏覽到網頁,
就能獲得網頁資訊,不易被檔住
− 檢測深度可透過proxy自行加深
Ÿ 缺點
− 須付費才能使用scanner功能進行自動檢測,否則只
能使用intruder功能以人工方式進行判斷弱點
Ÿ 工具與環境限制
− 需安裝Java JDK/JRE才可執行burp suite
43
45. 【內部使用】
檢測項目
Ÿ Cross Site Scripting
Ÿ Injection Flaws
Ÿ 資訊揭露與不適當錯誤處置
44
47. 【內部使用】
THC-Hydra
Ÿ THC-Hydra工具可對網路帳號密碼登入系統進
行快速字典攻擊,包括FTP、POP3及Telnet等協
定。本工具同時支援SSL協定,並且可與Nesuss
搭配進行檢測工作
Ÿ 版本
− THC-Hydra 5.7
Ÿ 工具來源:http://freeworld.thc.org/thc-hydra/
Ÿ 執行環境:Linux及Windows
Ÿ 工具介面:圖形介面(Linux)與指令介面
(Windows)
46
48. 【內部使用】
優缺點與限制
Ÿ 優點
− 此工具破解密碼十分快速
− 可由output檔案得知是否正確解得帳號密碼
Ÿ 缺點
− 在使用數次後,工具操作上會有些錯誤情形發生,
可重新啟動再次檢測
47
51. 【內部使用】
Nikto
Ÿ Nikto是一款能對網站伺服器執行多種安全測試
的自動化掃描軟體,可掃瞄SQL Injection、
Cross Site Scripting及伺服器相關弱點
Ÿ 版本
− Nikto2 (Version 2.1.3)
Ÿ 工具來源:http://www.cirt.net/nikto2
Ÿ 執行環境:Windows + perl
Ÿ 工具介面:文字介面
50
52. 【內部使用】
優缺點與限制
Ÿ 優點
− 此工具檢測網站伺服器與應用程式的版本及設定不當
相關弱點之功能極佳
− 檢測速度快
− 可自動更新套件
− 操作簡單
Ÿ 缺點
− 檢測深度較淺
Ÿ 工具與環境限制
− 需安裝Perl環境才可執行Nikto
− 可能無法檢測有IDS/IPS或應用層防火牆之網站伺服
器 51
53. 【內部使用】
檢測項目
Ÿ Cross Site Scripting (XSS,跨網站腳本攻擊)
Ÿ Injection Flaws (注入碼攻擊)
Ÿ 資訊揭露與不適當錯誤處置
Ÿ 不安全的伺服器設定
Ÿ 不安全的伺服器版本
Ÿ 不安全的應用程式套件
52
55. 【內部使用】
Grendel-Scan
Ÿ Grendel-Scan工具為自動化網頁弱點掃描工具,
只需輸入起始頁面URL,即可自動化掃描整個
網站
Ÿ 版本
− Grendel-Scan-v1.0-win32
Ÿ 工具來源:http://grendel-scan.com/download.htm
Ÿ 執行環境:Windows
Ÿ 工具介面:圖形介面
54
56. 【內部使用】
優缺點
Ÿ 優點
− 操作簡單,需輸入目標網站URLs與選擇所需之弱點
檢測項目,即可完成掃描
− 弱點檢測項目之描述十分詳盡
Ÿ 缺點
− 檢測時產生大量Log檔,須準備大量硬碟空間以存放
檔案
− 掃描時間較一般工具久
55
57. 【內部使用】
檢測項目
Ÿ Cross-Site Scripting (XSS,跨網站腳本攻擊)
Ÿ Injection Flaws (注入碼攻擊)
Ÿ 資訊揭露與不適當錯誤處置
Ÿ 備份檔案
Ÿ 不安全的伺服器設定
56
59. 【內部使用】
w3af
Ÿ w3af是一套開放原始碼的弱點檢測工具,其架
構可分為核心及套件(plug-in)兩部分,皆由
python撰寫而成,可檢測XSS與SQL Injection等
等網頁應用程式弱點
Ÿ 工具來源:http://w3af.sourceforge.net/
− 工具版本:1.0-rc3
Ÿ 執行環境:Windows +python
Ÿ 工具介面:圖形介面
58
60. 【內部使用】
優缺點與限制
Ÿ 優點
− 操作簡單,易於上手,plug in功能說明詳細
− 可自行透過勾選plug in之方式選擇預測試之項目
− 檢測結果說明詳細(含弱點url、測試字串與風險評估
等等)
Ÿ 缺點
− Plug in太多會造成檢測時間過長
− 有些plug in須互相搭配使用才有檢測效果
Ÿ 工具與環境限制
− 需安裝python才可執行w3af
59
61. 【內部使用】
檢測項目
Ÿ Cross-Site Scripting
Ÿ Injection Flaws
Ÿ 資訊揭露與不適當錯誤處置
Ÿ 疏於限制URL存取
Ÿ 弱密碼
Ÿ 不安全的伺服器設定
60
63. 【內部使用】
Wikto
Ÿ Wikto能夠檢測數千種有問題的網頁script程式
、常見的設定錯誤及問題版本
Ÿ 工具版本:Wikto 2.1.0.0
Ÿ 工具來源:
http://www.sensepost.com/research/wikto/
Ÿ 執行環境:Windows 作業系統與.Net framwork
62
64. 【內部使用】
優缺點與限制
Ÿ 優點
− 圖形化介面操作方便
− 可以自行修改比對資料庫的字串
− 檢測報告說明清楚易懂
Ÿ 缺點
− 檢測時間較長
Ÿ 工具與環境限制
− 需要先註冊後才可下載,Windows 作業系統下需要
安裝.NET framework,程式才可以使用
63
67. 【內部使用】
Nessus
Ÿ Nessus是一套免費下載、功能與架構完整、更新
迅速且操作簡單的主機安全稽核掃瞄軟體。其
目的為幫助系統管理者檢測系統主機的弱點所
在,讓系統管理者對弱點處進行修正與防護,
降低遭受入侵之風險
Ÿ 版本:Nessus 4.2.2
Ÿ 工具來源:http://www.nessus.org/download/
Ÿ 執行環境:Windows
Ÿ 工具介面:圖形介面
66
68. 【內部使用】
優缺點
Ÿ 優點
− 圖形介面,容易上手
− 掃瞄速度快速
− 弱點檢測報告明確
− 提供大量Plugins檢測弱點
Ÿ 缺點
− 從3.0 版開始,Nessus 改採專有軟體授權,但2.x 系
列仍會採用Open source 授權
67
69. 【內部使用】
檢測項目
Ÿ Cross Site Scripting (XSS,跨網站腳本攻擊)
Ÿ Injection Flaws (注入碼攻擊)
Ÿ 不安全的伺服器設定
Ÿ 不安全的伺服器版本
Ÿ 不安全的應用程式套件
68