基礎網頁程式攻擊檢驗

2012.12.12 @ Hiiir Inc.

Taien Wang<[email protected]>

英屬維京群島商時間軸科技股份有限公司新創事業部

Taien內部資安講座 I基礎網頁程式攻擊檢驗

網頁程式攻擊與防範

• 常見弱點

• 弱點掃描工具

• 基本架構防禦

• 推薦書籍

駭客看到的？

常用弱點非官方網頁應用程式安全組織 OWASP

OWASP 2007 10大弱點 OWASP 2010 10大弱點

1 跨站腳本攻擊 (XSS) 注入攻擊

2 注入攻擊 跨站腳本攻擊(XSS)

3 惡意程式執行 身分驗證功能缺失

4 不安全的物件參考 不安全的物件參考

5 跨站請求偽造(CSRF) 跨站請求偽造(CSRF)

6 程式碼錯誤訊息外漏 安全性設定疏失

7 身分驗證功能缺失 未加密的儲存設備

8 未加密的儲存設備 無權限的URL控制

9 不安全的網路連練 不安全的傳輸防護

10 無權限的URL控制 未驗證的導向

常見的網路攻擊

• 注入(Injection)

– SQL注入(SQL Injection)

– 命令注入(Command Injection)

– LDAP注入(LDAP Injection)

• 跨網站腳本(Cross-Site Script)

• 跨網站請求偽造(Cross-Site Request Forgery, CSRF)

• Cookie挾持/偽造(Cookie, Session Hijacking/Spoofing)

• 跳脫目錄(Escape Directory)

• 上傳過濾(Upload Filter)

• 遠端檔案引入(Remote File Inclusion)

• 非驗證重導/重送(Unvaildated Redirects and Forwards)

弱點掃描工具

• OWASP Zed Attack Proxy Project

• Paros

• Nikto

• Google skipfish

• Burp Suite

• Shadow Security Scanner

• Acunetix Web Vulnerability Scanner

• Xscan

• NeXpose

• Nessus

基本防禦架構

• Model(商業模型)

– 白名單、資料淨化

– 拋出錯誤

• View

– 客戶端Script檢查

– XSS、CSRF/XSRF

• Controller

– 接收欄位檢查必要欄位

– 處理錯誤

範例(1/2)

範例(2/2)

未來上線必要流程OWASP弱點測試報告書

推薦書籍

• 程式開發安全

– 網路竟然這麼危險！阿里巴巴首席安全專家教你全方位保護網站

– 網頁程式駭客攻防實戰－以 PHP 為例

– The Web Application Hacker’s Handbook

– Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions

– Web 2.0 Security - Defending AJAX, RIA, AND SOA

– OWASP Testing Guide

– OWASP Code Review Guide

– The Database Hacker's Handbook Defending Database Servers

• 軟體安全開發架構

– Software Security: Building Security In

– Secure Software Development Life Cycle, SSDLC

網路攻擊與防禦系列分享

• 主題: 網頁程式攻擊與防範

– 2012.12.12 10:30-11:30

• 主題: 安全的開發流程

– 2013.01.16 10:30-11:30

• 主題: 網路攻擊詳解(一)

– 用戶端攻擊與防禦

– 2013.02.05 10:30-11:30

• 主題: 網路攻擊詳解(二)

– 伺服器端攻擊與防禦

• 主題: 存取控制與加密演算法