cxLab 0: Configuring the Internet Explorer Start Page
Download
Report
Transcript cxLab 0: Configuring the Internet Explorer Start Page
網路架構概論
與系統安全防護
張裕敏
e-mail: [email protected]
1
課程簡介
網站架構與網站應用
系統安全介紹
2
網路架構簡介
觀念篇
應用篇
實作篇
3
觀念篇
client/server
3-Tire
WAP
4
主從式架構
structure 三層式架構
(Wireless Application Protocol)
應用篇
電子商務
會員認證
購物車
系統安全
5
SSL (Secure Socket Layer)
SET(Secure Electronic Transaction) 安全電子
交易
實作篇 browser
client:
browser
netscape
internet
opera
lynx
6
explorer
實作篇web server
server:
7
web server
Internet Information Server(iis)
Personal Web Server
apache
netscape enterprise
IBM WebSphere Application Server
實作篇client language
client
8
language
HTML
client side javascript
VBScript
DHTML
Java Applet
XML
實作篇server language
server
9
language
ASP(Active Server Pages)
Server Side JavaScript(Netscape LiveWire)
Java Application
Java Servlet
CGI
Php
Perl
互動式網頁課程簡介
10
Browser, HTML, Client-Side Script, Server-Side Script
JavaScript
VBScript
ASP(Active Server Page)
Browser(瀏覽器)
11
Netscape Communicator
Internet Explorer
Netscape Communicator
12
HTML
XML
JavaScript
Java
CSS
DHTML
Internet Explorer
13
HTML
XML
Active X Control
JScript
VBScript
Java
CSS
DHTML
Script
14
Client-Side Script
在Browser端執行
JavaScript, VBScript
Server Side Script
在Web端執行
CGI, ASP
HTML
15
HyperText Markup Language (HTML)
超文件標註語言
SGML (Standard Generalized Markup Language)
標準格式化標註語言
範例觀摩-1
16
HTML語言介紹
JavaScript 語言介紹
JavaScript範例觀摩----使用者輸入資料檢查
JavaScript範例觀摩----瀏覽器判斷
JavaScript範例觀摩----萬年曆
JavaScript範例觀摩----時鐘
範例觀摩-2
17
JavaScript範例觀摩----電子看板
JavaScript範例觀摩----走馬燈
JavaScript範例觀摩----網頁產生器
VBScript 語言介紹
VBScript範例觀摩----第一個VBSCRIPT程式
VBScript範例觀摩----日期
範例觀摩-3
18
VBScript範例觀摩----使用者輸入資料檢查
VBScript範例觀摩----調色盤
VBScript範例觀摩----四子棋
ASP語言介紹
ASP範例觀摩----瀏覽器版本與強度
ASP範例觀摩----計算連線時間
範例觀摩-4
19
ASP範例觀摩----訪客計數器
ASP範例觀摩----訪客計數器 2
ASP範例觀摩----線上查榜
ASP範例觀摩----電子郵件
ASP範例觀摩----線上聊天室
系統安全大綱
20
網路安全現況
WWW 安全簡介
入侵者可能使用的手法
企業的因應之道
結論
網路安全現況
根據 1999 年 FBI 所舉行的電腦犯罪及電腦
安全調查報告指出
62% 的企業指出他們在過去的一年內遭受過越權的
電腦使用
57% 的企業認為 Internet 是常被使用的攻擊入口
163 個組織回報損失,總金額達到 123.7 (百萬)美元
51% 受害單位了解他們在財務方面受到損失
其中 31% 無法量化他們的損失
21
網路安全現況
96% 的單位擁有 Web 網站
30% 的單位提供 e-commerce 的服務
22
20 % 的單位在過去 12 個月中發現有人曾經誤
用或攻擊他們的 Web 站台
33% 的組織對這個問題回答 “不知道”
網路安全現況
23
作業平台種類愈來愈複雜
網路服務種類增加
網路安全的資訊愈來愈發達,各種網路安全工具愈
來愈容易取得
網路上的行動幾乎是“隱形“的
網路安全現況
24
網頁程式遭受惡意抹黑的情形相當常見
系統遭受入侵的小道消息可以在 Attrition.org
找到 ( http://www.attrition.org )
根據 eEyes ( http://www.eeyes.com/ ) 的觀
察發現最常遭受攻擊的系統為: Windows NT,
Solaris, Linux
網路安全現況
1999年 八月統計資料 (取前五名)
Win-NT
Solaris
106
77
35.93%
26.10%
Linux
68
23.05%
BSDI
19
6.44%
IRIX
11
3.73%
Reported Hacks: 319
Average number of website defacements per day since 99.08.01: 10.3.
25
網路安全現況
1999年 九月統計資料 (取前五名)
Win-NT
Linux
82
72
32.54%
28.57%
Solaris
62
24.60%
BSDI
13
5.16%
FreeBSD
12
4.76%
Reported Hacks: 260
Average number of website defacements per day since 99.09.01: 8.7.
26
網路安全現況
1999年 十月統計資料 (取前五名)
Win-NT
Linux
283
68
62.75%
14.86%
Solaris
48
10.64%
FreeBSD
23
5.10%
BSDI
17
3.77%
Reported Hacks: 459
Average number of website defacements per day since 99.10.01: 14.8.
27
網路安全現況
根據台灣電腦網路危機處理中心 ( TW-CERT,
http://www.cert.org.tw/ ) 於 1999 年八月發
布的一項調查結果,台灣地區網站遭受攻擊時存活
率不超過五成五
攻擊方式
Information
Leakage
存活率
20878/38158
(54.71 %)
28
Denial of
Service
Remote File
READ
Web admin
shell
14514/38158 15853/38158 20710/38158
(38.04 %)
(41.55 %)
(54.27 %)
WWW 安全簡介
29
www 伺服器安全考量
網頁內容遭受竄改
公司機密資料遭受竊取
公司伺服器成為害客跳板
害客可能的入侵手段
針對 Web 伺服器程式漏洞進行攻擊
針對 CGI 漏洞進行攻擊
針對作業系統本身的漏洞進行攻擊
NT 作業系統的木馬攻擊
入侵者可能使用的手法
30
調查 Web Server 版本
入侵者可能使用的手法
目前全球 WWW 伺服器版本分布情形
Internet Web 伺服器佔有率分布趨勢 (1996-2000)
來源: NetCraft (http://www.netcraft.com)
31
入侵者可能使用的手法
32
針對特定 Web 伺服器存在的漏洞下手
iishack
Windows NT 8+3 filename extensions.
IIS 3.0 dot problem.
IIS :$DATA streaming problem.
Netscape Enterprise %20 problem.
Misc buffer overflow problem.
(IIS/NetScape Enterprise and FastTrak Server)
入侵者可能使用的手法
33
偵測 CGI 的存在
入侵者可能使用的手法
34
偵測 CGI 的存在
入侵者可能使用的手法
35
偵測 CGI 的存在
入侵者可能使用的手法
36
針對特定 CGI 漏洞進行攻擊
IIS codebrws.asp / showcode.asp
Unix Count.cgi buffer overflow
Phf exec misc command
test-cgi problem
絕大部分的管理者在安裝 WWW 之後都沒有
檢查安裝了哪些 cgi 程式
絕大部分管理者不了解安裝了哪些 cgi,以及這
些 cgi 到底有哪些用途,在大型網站上這些問
題更加嚴重
入侵者可能使用的手法
37
入侵者可能使用的手法
38
入侵者可能使用的手法
39
入侵者可能使用的手法
40
針對作業系統漏洞進行攻擊
Solaris rpc.*
qpopper 2.4 (pop3 server)
uw-imap4
取得系統管理者權限
入侵者可能使用的手法
41
針對作業系統漏洞進行攻擊
企業的因應之道
42
移除不必要的 CGI 程式,並且對目前所有的 CGI
程式進行檢查
更新 Web 伺服器的版本,並安裝補漏
進行網路安全檢查
培養專業的網管人員
運用各種網路安全產品輔助網管人員進行安全的
稽核
資訊安全委外
企業的因應之道
網路安全掃描
系統內部檢查
•Intranet
43
防毒軟體
加密軟體
防火牆
入侵偵測
•Interne
t
結論
44
入侵已不是高手的專利
防火牆不是萬靈丹
網路安全需要各種不同的技術來進行協防
網路安全需要有專才來負責
網管必須注意最新的相關訊息