cxLab 0: Configuring the Internet Explorer Start Page

Download Report

Transcript cxLab 0: Configuring the Internet Explorer Start Page 

網路架構概論
與系統安全防護
張裕敏
e-mail: [email protected]
1
課程簡介
 網站架構與網站應用
 系統安全介紹
2
網路架構簡介
觀念篇
應用篇
實作篇
3
觀念篇
 client/server
 3-Tire
 WAP
4
主從式架構
structure 三層式架構
(Wireless Application Protocol)
應用篇
 電子商務

會員認證

購物車
 系統安全


5
SSL (Secure Socket Layer)
SET(Secure Electronic Transaction) 安全電子
交易
實作篇 browser
 client:
browser
 netscape
 internet
 opera
 lynx
6
explorer
實作篇web server
 server:
7
web server

Internet Information Server(iis)

Personal Web Server

apache

netscape enterprise

IBM WebSphere Application Server
實作篇client language
 client
8
language

HTML

client side javascript

VBScript

DHTML

Java Applet

XML
實作篇server language
server
9
language

ASP(Active Server Pages)

Server Side JavaScript(Netscape LiveWire)

Java Application

Java Servlet

CGI

Php

Perl
互動式網頁課程簡介
10

Browser, HTML, Client-Side Script, Server-Side Script

JavaScript

VBScript

ASP(Active Server Page)
Browser(瀏覽器)
11

Netscape Communicator

Internet Explorer
Netscape Communicator
12

HTML

XML

JavaScript

Java

CSS

DHTML
Internet Explorer
13

HTML

XML

Active X Control

JScript

VBScript

Java

CSS

DHTML
Script


14
Client-Side Script

在Browser端執行

JavaScript, VBScript
Server Side Script

在Web端執行

CGI, ASP
HTML
15

HyperText Markup Language (HTML)

超文件標註語言

SGML (Standard Generalized Markup Language)

標準格式化標註語言
範例觀摩-1
16

HTML語言介紹

JavaScript 語言介紹

JavaScript範例觀摩----使用者輸入資料檢查

JavaScript範例觀摩----瀏覽器判斷

JavaScript範例觀摩----萬年曆

JavaScript範例觀摩----時鐘
範例觀摩-2
17

JavaScript範例觀摩----電子看板

JavaScript範例觀摩----走馬燈

JavaScript範例觀摩----網頁產生器

VBScript 語言介紹

VBScript範例觀摩----第一個VBSCRIPT程式

VBScript範例觀摩----日期
範例觀摩-3
18

VBScript範例觀摩----使用者輸入資料檢查

VBScript範例觀摩----調色盤

VBScript範例觀摩----四子棋

ASP語言介紹

ASP範例觀摩----瀏覽器版本與強度

ASP範例觀摩----計算連線時間
範例觀摩-4
19

ASP範例觀摩----訪客計數器

ASP範例觀摩----訪客計數器 2

ASP範例觀摩----線上查榜

ASP範例觀摩----電子郵件

ASP範例觀摩----線上聊天室
系統安全大綱


20
網路安全現況
WWW 安全簡介

入侵者可能使用的手法

企業的因應之道

結論
網路安全現況

根據 1999 年 FBI 所舉行的電腦犯罪及電腦
安全調查報告指出

62% 的企業指出他們在過去的一年內遭受過越權的
電腦使用

57% 的企業認為 Internet 是常被使用的攻擊入口

163 個組織回報損失,總金額達到 123.7 (百萬)美元

51% 受害單位了解他們在財務方面受到損失
其中 31% 無法量化他們的損失
21
網路安全現況

96% 的單位擁有 Web 網站

30% 的單位提供 e-commerce 的服務


22
20 % 的單位在過去 12 個月中發現有人曾經誤
用或攻擊他們的 Web 站台
33% 的組織對這個問題回答 “不知道”
網路安全現況
23

作業平台種類愈來愈複雜

網路服務種類增加

網路安全的資訊愈來愈發達,各種網路安全工具愈
來愈容易取得

網路上的行動幾乎是“隱形“的
網路安全現況



24
網頁程式遭受惡意抹黑的情形相當常見
系統遭受入侵的小道消息可以在 Attrition.org
找到 ( http://www.attrition.org )
根據 eEyes ( http://www.eeyes.com/ ) 的觀
察發現最常遭受攻擊的系統為: Windows NT,
Solaris, Linux
網路安全現況
1999年 八月統計資料 (取前五名)
Win-NT
Solaris
106
77
35.93%
26.10%
Linux
68
23.05%
BSDI
19
6.44%
IRIX
11
3.73%
Reported Hacks: 319
Average number of website defacements per day since 99.08.01: 10.3.
25
網路安全現況
1999年 九月統計資料 (取前五名)
Win-NT
Linux
82
72
32.54%
28.57%
Solaris
62
24.60%
BSDI
13
5.16%
FreeBSD
12
4.76%
Reported Hacks: 260
Average number of website defacements per day since 99.09.01: 8.7.
26
網路安全現況
1999年 十月統計資料 (取前五名)
Win-NT
Linux
283
68
62.75%
14.86%
Solaris
48
10.64%
FreeBSD
23
5.10%
BSDI
17
3.77%
Reported Hacks: 459
Average number of website defacements per day since 99.10.01: 14.8.
27
網路安全現況

根據台灣電腦網路危機處理中心 ( TW-CERT,
http://www.cert.org.tw/ ) 於 1999 年八月發
布的一項調查結果,台灣地區網站遭受攻擊時存活
率不超過五成五
攻擊方式
Information
Leakage
存活率
20878/38158
(54.71 %)
28
Denial of
Service
Remote File
READ
Web admin
shell
14514/38158 15853/38158 20710/38158
(38.04 %)
(41.55 %)
(54.27 %)
WWW 安全簡介


29
www 伺服器安全考量

網頁內容遭受竄改

公司機密資料遭受竊取

公司伺服器成為害客跳板
害客可能的入侵手段

針對 Web 伺服器程式漏洞進行攻擊

針對 CGI 漏洞進行攻擊

針對作業系統本身的漏洞進行攻擊

NT 作業系統的木馬攻擊
入侵者可能使用的手法

30
調查 Web Server 版本
入侵者可能使用的手法

目前全球 WWW 伺服器版本分布情形
Internet Web 伺服器佔有率分布趨勢 (1996-2000)
來源: NetCraft (http://www.netcraft.com)
31
入侵者可能使用的手法

32
針對特定 Web 伺服器存在的漏洞下手

iishack

Windows NT 8+3 filename extensions.

IIS 3.0 dot problem.

IIS :$DATA streaming problem.

Netscape Enterprise %20 problem.

Misc buffer overflow problem.
(IIS/NetScape Enterprise and FastTrak Server)
入侵者可能使用的手法

33
偵測 CGI 的存在
入侵者可能使用的手法

34
偵測 CGI 的存在
入侵者可能使用的手法

35
偵測 CGI 的存在
入侵者可能使用的手法



36
針對特定 CGI 漏洞進行攻擊

IIS codebrws.asp / showcode.asp

Unix Count.cgi buffer overflow

Phf exec misc command

test-cgi problem
絕大部分的管理者在安裝 WWW 之後都沒有
檢查安裝了哪些 cgi 程式
絕大部分管理者不了解安裝了哪些 cgi,以及這
些 cgi 到底有哪些用途,在大型網站上這些問
題更加嚴重
入侵者可能使用的手法
37
入侵者可能使用的手法
38
入侵者可能使用的手法
39
入侵者可能使用的手法


40
針對作業系統漏洞進行攻擊

Solaris rpc.*

qpopper 2.4 (pop3 server)

uw-imap4
取得系統管理者權限
入侵者可能使用的手法

41
針對作業系統漏洞進行攻擊
企業的因應之道
42

移除不必要的 CGI 程式,並且對目前所有的 CGI
程式進行檢查

更新 Web 伺服器的版本,並安裝補漏

進行網路安全檢查

培養專業的網管人員

運用各種網路安全產品輔助網管人員進行安全的
稽核

資訊安全委外
企業的因應之道
網路安全掃描
系統內部檢查
•Intranet
43
防毒軟體
加密軟體
防火牆
入侵偵測
•Interne
t
結論
44

入侵已不是高手的專利

防火牆不是萬靈丹

網路安全需要各種不同的技術來進行協防

網路安全需要有專才來負責

網管必須注意最新的相關訊息