Transcript 網路安全管理期末報告 網站防護技術介紹與案例 A0953343 蘇柏戎 指導老師：梁明章 老師 系統弱點的一生 網站應用程式弱點的一生 網站應用程式弱點 網站包含需求、規畫、開發、測試、上線...等 程序，每個階段都可能造成「弱點」 網站邏輯設計錯誤 網路應用系統安全弱點 (OWASP) SOP 程序弱點 須以SOP文件進行網站上線前之檢核 HTTP PUT Method檢測 發展網站上線前的安全檢核清單避免設定不當造成問題 網站常見威脅 (1/2) 網站常見威脅 (2/2) 洞悉網站威脅 沒有一個是 IT 人員自行發現的 培養敏感度 情報網是否情蒐管道暢通 客服或企業聯繫窗口 地下經濟利益 地下利益是動機、目的，威脅手法只是其手段 網站上有哪些是有心人士想要的？ 網站瀏覽者的威脅 網頁信譽評等 WRS, Web Reputation Services http://mylinkweb.blogspot.com/search?q=WRS 案 例 (1/2) 密碼復原的邏輯錯誤 2008/10/09 田納西男子駭進培林的電子信箱 美國一名男子駭進美國共和黨副總統候選人培 林的E-MAIL信箱 他正確回答網管系統設定的一系列問題後，侵 入培林設在雅虎的電子信箱並更改培林信箱的 使用者名稱與密碼 案 例 (2/2) twitter XSS worm「stalkdaily.

網路安全管理期末報告
網站防護技術介紹與案例
A0953343 蘇柏戎
指導老師：梁明章 老師
系統弱點的一生
2
網站應用程式弱點的一生
3
網站應用程式弱點
網站包含需求、規畫、開發、測試、上線...等
程序，每個階段都可能造成「弱點」
網站邏輯設計錯誤
網路應用系統安全弱點 (OWASP)
SOP 程序弱點
須以SOP文件進行網站上線前之檢核
HTTP PUT Method檢測
發展網站上線前的安全檢核清單避免設定不當造成問題
4
網站常見威脅 (1/2)
5
網站常見威脅 (2/2)
洞悉網站威脅
沒有一個是 IT 人員自行發現的
培養敏感度
情報網是否情蒐管道暢通
客服或企業聯繫窗口
地下經濟利益
地下利益是動機、目的，威脅手法只是其手段
網站上有哪些是有心人士想要的？
6
網站瀏覽者的威脅
網頁信譽評等 WRS, Web Reputation Services
http://mylinkweb.blogspot.com/search?q=WRS
7
案
例 (1/2)
密碼復原的邏輯錯誤
2008/10/09 田納西男子駭進培林的電子信箱
美國一名男子駭進美國共和黨副總統候選人培
林的E-MAIL信箱
他正確回答網管系統設定的一系列問題後，侵
入培林設在雅虎的電子信箱並更改培林信箱的
使用者名稱與密碼
8
案
例 (2/2)
twitter XSS worm「stalkdaily worm」
2009/4/12 17歲少年：twitter XSS worm-stalkdaily worm蠕
蟲是我做的
利用XSS漏洞感染使用者，寫入惡意javascript
以被感染之使用者帳號發出tweet，另一方面則在其他使用者瀏覽
該profile時，感染並散播
不需特殊權限就能進行
攻擊者在帳號欄位插入惡意javascript，並藉由該帳號發出一些吸引人之
tweet，或跟隨別人
最近twitter小幅改版造成，很快就遭到利用
9
網頁程式安全防護
做好網頁系統的Code Review
網頁程式撰寫稍有不慎，就可能把整個電腦的控制權送給惡
意的使用者
內部檢視-原始碼檢視
外部檢視-黑箱測試
開發團隊成員安全認知不足或是團隊安全認知不均是安
全性難以確保的主因
新的專案可能繼承舊的安全缺陷而持續殘留
Web程式本身相當安全，卻忘記對第三方函式庫或模組
檢視安全性或追蹤安全弱點並持續修正
10
網頁程式安全防護-Web2.0
Web 2.0網站解析(Parsing)整個URI將路徑名或檔名作為tag
URI的來源來自伺服器環境變數並非傳統的GPC，惡意攻擊者可以製
作一個包含特殊語法的URI對應用程式做請求，達到特定的攻擊方式
隱藏類型的XSS跨站台攻擊
惡意的JavaScript無法被透過「檢視原始碼」看到，因為Ajax只顯示原有被瀏覽
器取回執行的頁面，並非反應當前狀態
過渡執行程式與隱藏性POST發送方式
在Ajax程式中請求是隱藏的，而且只有在不同的用戶行為下才會觸發服務請求
許多網站在沒有使用者觸發事件的情況下藉由JavaScript的timeout能力，限定每
幾秒內就觸發一次服務請求
11
End
感謝聆聽
參考資料：
阿碼外傳
http://armorize-cht.blogspot.com
資安人科技網
http://www.isecutech.com.tw
12