Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
資訊安全防護( 進階管理班)
講師 呂守箴
大綱
�APT駭客攻擊防護作業
�郵件社交工程演練作業
�Web網站防護作業
APT駭客攻擊防護作業&
郵件社交工程演練作業
APT(Advanced Persistent Threat,進階持續性威脅)
� 所以APT(Advanced Persistent Threat,進階
持續性威脅)一詞指的是一種“有計劃性的攻擊行為”,是多種面向的攻擊路徑而不是一種病毒或惡意程式。
� 參考資料:� http://en.wikipedia.org/wiki/Advanced_Persistent_Threat
APT(Advanced Persistent Threat,進階持續性威脅)
� 為取得『關鍵資料』,例如:帳號/密碼、聯絡人名單、未公佈資料、系統設定文件等,會透過以下幾種路徑取得:
� 郵件社交工程:�為目前最常見,但非唯一。
� 簡訊社交工程:�為近期新手法。
� 網路釣魚/網路詐騙:
� 使用漏洞進行對外主機的入侵:
APT & 郵件社交工程攻擊模式
1. 駭客設計攻擊陷駭客設計攻擊陷駭客設計攻擊陷駭客設計攻擊陷阱程式阱程式阱程式阱程式(如如如如特殊特殊特殊特殊Word檔案或檔案或檔案或檔案或外部外部外部外部惡意連結惡意連結惡意連結惡意連結)
2. 將攻擊程式將攻擊程式將攻擊程式將攻擊程式置入置入置入置入電子郵件中電子郵件中電子郵件中電子郵件中
3. 寄發電子郵件給寄發電子郵件給寄發電子郵件給寄發電子郵件給特定的目標特定的目標特定的目標特定的目標
4. 受害者受害者受害者受害者開啟開啟開啟開啟電子電子電子電子郵件郵件郵件郵件
5. 啟動駭客設計的啟動駭客設計的啟動駭客設計的啟動駭客設計的陷阱陷阱陷阱陷阱,,,,將被將被將被將被植入植入植入植入後門程式後門程式後門程式後門程式
6. 後門程式後門程式後門程式後門程式逆向連逆向連逆向連逆向連接接接接,,,,向遠端駭客向遠端駭客向遠端駭客向遠端駭客報到報到報到報到
Internet
近期常見 APT /郵件社交工程詐騙範本:
郵件社交工程攻擊之定義� 利用人性弱點、人際交往或互動特性所發展出來的一種
攻擊方法
� 早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目前社交工程大都是利用電子郵件或網頁來進行攻擊
� 透過電子郵件進行攻擊之常見手法◦ 假冒寄件者◦ 使用與業務相關或令人感興趣的郵件內容◦ 含有惡意程式的附件或連結◦ 利用應用程式之弱點(包括零時差攻擊)
假冒寄件者方式 – 原理
� SMTP 通信規範, 沒有辦法限制驗證寄件人的身份. 雖然可以用身份驗證機制確保信是由特定人員寄出(例如加上簽章), 但沒辦法防止別人偽造你的 EMAIL 寄出信件. 頂多只能分辨出信是否為假的...
� 寄件人名稱可以是假的� 超連結的狀態列可以是假的
� 所以整封信件,都是假的!!!!!!!!!
郵件社交工程:寄件者/收件者� 偽造寄件者/收件者
� 特徵:◦ 只有出現@信箱
◦ 別人的名字� 認識的人(同事、家人)
� 不認識的人(廣告、隨機取樣)
◦ 自己的名字� 利用程式撰寫取得自己名字
◦ 寄件者/收件者是空白的� 匿名寄送的
假冒寄件者方式-郵件帳號假冒
12
用數字的零來假冒成英文的O
假冒寄件者方式-完全假冒
� 由於電子郵件傳送協定弱點,駭客可完全假冒寄件者的名稱以及電子郵件位址,甚至可透過入侵寄件者的電腦來寄發電子郵件。
使用者
受駭電腦
駭客
1.入侵受駭電腦
2.透過受駭電腦發送惡意信件
3.發送含有惡意程式電子郵件
1.完全假冒的電子郵及寄件者名稱寄送惡意信件 4.讀取信任來源郵件
使用讓人感興趣的主旨與內文
� 駭客會使用讓人感興趣的資料消息,來欺騙使用者去開啟這些附件或超連結,造成木馬程式開始動作。
14
郵件社交工程:主旨� 誘使你開啟的主題� 特徵:
◦ 情色
◦ 健康、飲食
◦ 折價、消費
◦ 新聞、時事
◦ 公務、意見表達、陳情
� 出現 RE: 與 FW: 之不同點。
� 單純從主旨是無法判斷真假的,除非事先有設定約定俗成的記號。
郵件社交工程方式
� 寄發不同主題之電子郵件(其內含惡意程式碼)。
� 郵件內容區分為:「演藝八卦新聞」、「政治」、「養生保健」、 「休閒娛樂」、「教育新聞相關」、「情色」等主題。
� 郵件類型區分為: 「網頁類型」、「Word檔案」、「圖檔」等3種類型。
郵件社交工程:郵件內容� 文字:
� 超連結:
� 內嵌圖片:
郵件社交工程:郵件內容:文字� 文字:
� 眼睛所看到的文字,並非『純』的文字。而是由HTML 網頁語法所產生的效果。
� 因此可撰寫惡意的HTML來產生病毒傳輸的效果。
� 變更成『純文字』的設定,才能避免在眼睛看不見下被動手腳!
郵件社交工程:郵件內容:超連結� 超連結:
� 利用網路釣魚的手法將含有惡意程式的網址,採用偽裝的技巧詐騙使用者點選。
� 進階偽裝:◦ 網址編碼◦ 短網址◦ QR Code
含有惡意程式附件
� 駭客在電子郵件附帶一個含有惡意程式的檔案,這個檔案不一定是執行檔,可能是各種類型的應用程式,甚至是壓縮檔。駭客會夾帶任何在應用程式上存在可攻擊弱點的文件檔案類型,並誘使使用者開啟附件,以啟動木馬程式。
20
郵件社交工程:附加檔案� 誘使你開啟/點選的名稱
� 誘使你開啟/點選的副檔名(請問那些副檔名可能會暗藏病毒?)◦ Exe,com,bat,vbs◦ Doc,xls,ppt,pdf◦ Zip,rar◦ Jpg,bmp◦ Mp3,mpg,avi
� 防毒軟體掃毒機制◦ 收到信在主機端就掃描?◦ 收到信在使用者端掃描?
� 打開收信軟體時掃描?� 點選信件時掃描?� 打開附件檔才掃描?� 偵測到有毒時才掃描?
傳送郵件的考量
� 傳送郵件的考量之一
� 傳送郵件的考量之二
� 自然人憑證的應用
傳送郵件的考量之一
� 請勿在私人信件傳送個人資訊
� 寄件人請選擇用密件副本寄給收件人的信箱
� 公務用([email protected]) 與 個人E-Mail ([email protected])信箱請分開使用
密件副本
針對 Outlook 2003/2010
傳送郵件的考量之二
� 可行的話將郵件傳送格式從「HTML」格式改用「純文字txt」格式。(工具�選項�讀取 及 傳送)
�關閉「啟動時傳送及接收郵件」、「每隔幾分鐘傳送及接收郵件」的功能。
� 搭配「自然人憑證」確認身份。� 寄件人改用「密件副本」。
純文字模式
針對 Outlook 2003/2010
接收郵件的考量
� 關閉郵件預覽功能
� 避免垃圾郵件?
� 網路謠言?
� 好康郵件、連鎖信手法
� 垃圾郵件、匿名郵件及偽造郵件攻擊
� 落實郵件附件檔掃毒與可疑檔案上傳分析
關閉郵件預覽功能?
� 為什麼要關閉「郵件預覽的功能」?
� 一、沒有關閉該功能容易在收信時,不小心就看到該信內容。
� 二、沒有關閉該功能容易在閱讀其它正常信件時,不小心點到。
� 三、名稱叫預覽信件其實該功能等同於點閱信件。
關閉預覽窗格
針對 Outlook 2010
好康郵件、連鎖信手法
� 好康郵件:� 利用附件檔案例如:office文件、圖片、小遊戲
,挾帶或綑綁木馬程式使期點選就植入,進而竊取資料。
� 連鎖信(勵志小故事、協尋失蹤兒):� 利用同情心使得收信人願意將這些文件傳播出去
,其實這些文件都是改過的文件,要嘛收集所有轉寄人的個人資料及E-Mail或者是將這些資料植入木馬程式,透過轉寄來傳播。
垃圾郵件、匿名郵件及偽造郵件攻擊
� 利用匿名郵件 (例如:要求回信)
� 利用好康郵件 (例如:程式下載、中獎)
� 利用連鎖信 (例如:佛像郵件)
� 利用尋人郵件 (例如:尋找失蹤兒)
� 利用愛心郵件 (例如:骨髓配對、勵志小故事)
� 利用銀行郵件� 利用廣告郵件 (例如:折價卷)
� 利用情色郵件
落實郵件附件檔掃毒
� 將附件檔「另存新檔」後掃描病毒,不可以直接點選2下打開。
� 修補「Microsoft Office」、 「Adobe Reader」等的相關讀取程式的弱點。
� 如果不確定所收到的檔案是否有問題,使用「可疑檔案上傳分析」確認。
可疑檔案上傳分析:� 利用各家防毒軟毒軟體的掃描引擎,同時對單一一個檔
案,作是否為病毒、木馬檔案的分析可協助檢測確認檔案本身是否異常。
� VirusTotal:免費線上病毒和惡意軟體掃瞄� http://www.virustotal.com/zh-tw/
� VirSCAN.org:線上防毒引擎掃描網站 v1.00 目前支援 36 款防毒引擎
� http://www.virscan.org/
� Online malware scan� http://virusscan.jotti.org/
WebMail的傳送與接收� WebMail的使用原則,跟本機Mail的注意事項也是一樣的。
� 但WebMail更需要注意「預覽視窗」以及「超連結」的點選。
� 雖然WebMail的附件檔並沒有收下來,但若不注意仍有可能發生點選到有毒附件檔。
� WebMail更需要經常「變更密碼」,來避免被他人竊取。
�盡量避免在他人或公用電腦中使用WebMail,有可能該電腦
已經中毒。如果一定要用,使用前先掃毒、離開前請『登出』並要「清除瀏覽器的Cookie」,避免帳號密碼被記住。
上網與E-Mail:
� iOS 系統內建的上網 & E-Mail其安全設定,是在『設定』中。APP 內是找不到相關安全設定。
� 而 Android 系統的郵件APP則有許多版本,以目前使用最高的 Gmail 來舉例。
調整 Android / Gmail 相關設定:
調整 iPhone / iPad 相關設定:
� 調整『隱私』的設定� 調整『郵件、聯絡資訊、行事曆』的設定
調整『郵件、聯絡資訊、行事曆』的設定:
使用者防護停看聽(1)
� 停 ─ 使用任何電子郵件軟體前,必須先確認◦ 執行各種作業系統、應用軟體設定更新
� Windows Update
� Office Update
� Internet Explorer 安全性設定◦ 必須安裝防毒軟體,並確實更新病毒碼◦ 收信軟體安全性設定
� 如果可行的話以純文字模式開啟郵件� 必須取消郵件預覽功能
◦ 防止垃圾郵件� 設定過濾垃圾郵件機制
◦ 啟用個人防火牆
交通部管理資訊中心 45
使用者防護停看聽(2)
� 看 ─ 開啟電子郵件前應先依序檢視:(1)、【寄件者】的信箱來源(2)、【郵件主旨】是否與公務相關(3)、【附加檔案】不要直接點選打開,應另存新檔掃
毒。
☺【寄件者】或【郵件主旨】與公務無關者,建議應立即刪除,連預覽都不要開啟郵件。
交通部管理資訊中心 46
使用者防護停看聽(3)
� 聽 ─ 若懷疑郵件來源,必須進行確認
◦ 透過電話或電子郵件向寄件人確認郵件真偽
交通部管理資訊中心 47
防騙停看聽
停
安裝防毒軟體,確實更新病毒碼
關閉信件自動下載圖片及其他內容
以純文字模式開啟信件
取消信件預覽功能
設定過濾垃圾郵件機制
看信件是否來自政府單位(gov.tw)或教育單位(edu.tw)標題或內容是否與本身業務相關
其餘信件應視為垃圾郵件
聽透過電話向對方確認信件真偽
透過電子郵件再次確認
郵件社交工程防護停看聽
�請勿開啟及預覽任何人所寄來的匿名、垃圾郵件。
�就算是開啟了也請勿點選「超連結」。
�開啟任何郵件的附件檔前,請記得「另存新檔」掃毒後再開啟。
Web網站防護作業
利用知名搜尋引擎尋找目標Web Server
• 搜尋引擎的風險• 網站攻擊者思考• 基本、進階、其它語法與關鍵字• 搜尋存在漏洞的網站• 查找別人留下來的Webshell後門• 自動化 Google Hacks 工具• 如何防止Google Hacks
搜尋引擎的風險 By 使用者
� 搜尋「關鍵字」的結果可能讓使用者連入
� 與真網站網址或網頁內容相似的「偽冒(假)網站」◦ 例如:www.love007.com.tw vs www.1oveoo7.com.tw
◦ 例如:www.love007.com.tw vs www.love007.com
� 已被駭客植入惡意連結(木馬)的「官方(真)網站」◦ 例如:知名部落格所公告的網站http://www.rogerspeaking.com
搜尋引擎的風險 By 網站管理者
� 在架設網站過程中,設計者將該網站會使用到的「網頁、圖片、影音檔案、文件、檔案型式的資料庫(access)」貪圖超連結或檔案上下傳的方便性,採用「一個實體資料夾就是一個網站的設計」。
� 在這樣的網站設計與架設的概念下,如果該網站之網頁存取權限或實體的資料夾檔案權限控管不當,攻擊者只要猜測或使用工具取得該網站內資料夾或檔案文件名稱,便可從Internet下載存放於該網站(資料夾)內本屬不應公開的文件或資料庫。
網站攻擊者思考之一:網頁名稱與路徑
� 猜測首頁名稱:index、default 等
� 猜測管理名稱:admin 、login 、manage 、edit 、adminuser 、main 、adminmain 等
� 虛擬目錄/資料夾名稱:photo 、image 、admin、user 、script、db 、user 等
� 預設路徑:� IIS:c:\inetpub\wwwroot� Apache: /usr/local/apache
� 防禦對策:� 變更採用不易識別的名稱或路徑
網站攻擊者思考之二:工具與掃描
� 使用工具:砍站軟體、Web弱點掃描軟體、駭客工具之後台掃描軟體、駭客工具之注入軟體
� 使用時機:網頁名稱與路徑猜測命中率太低時
� 使用風險:大量且及時的掃描易被防禦設備阻擋或封鎖IP
� 規避風險:使用proxy不停更換IP、少量掃描、分段掃描、分時掃描、用跳版(肉雞)掃描、使用DDoS讓防禦設備ByPass、針對漏洞攻擊而不使用掃描(例如:SQL Injection、XSS、 CGI漏洞)
� 防禦對策:� 調整防禦設備對Web攻擊的敏感度� 增加檢視閘道端或伺服器端LOG的頻率
網站攻擊者思考之三:Google Hacks
� 「水可以載舟,亦可以覆舟」,搜尋引擎雖然為企業網站增加曝光度,但強大的搜尋技術卻也讓企業不想曝光的網站弱點與機密資訊一一現形,造成駭客攻擊的索引指南或內部資料外洩。
� 而駭客或一般人使用搜尋引擎尋找資料(難度很低、又不需懂太多技巧),會在「有意」或「無意」間取得網站的不想公開的資料超連結,進而下載轉存。
� 針對非以網站為主要商務往來之中小型企業,其成功率高且被發現攻擊的風險低,是駭客攻擊前收集目標資料的好方法。
� 手法缺點:� 對目標明確的單一目標網站(例:政府、金融網
站)成功率不見得高,僅適合攻擊前灑網捕魚,來尋找具有Web漏洞的網站作為參考。
� 對剛架設的新生兒網站或舊網站卻剛新增的網頁資料會找不到相關搜尋的索引資料。
基本語法與關鍵字
� site: (搜尋特定網址)
� inurl: (搜尋特定連結)
� intext: (搜尋網頁內文字)
� intitle: (搜尋網頁標題)
� filetype: (搜尋特定檔案格式)
� link: (搜尋互相連結的網頁)
� “index of“ (搜尋開放目錄瀏覽)
� cache: (顯示網頁在google中的暫存資料)
進階語法與關鍵字� "access denied for user" "using password" � "Index of /backup" � allinurl: admin mdb� inurl:passlist.txt� " -FrontPage-" ext:pwd inurl:(service | authors |
administrators | users) � "ASP.NET_SessionId" "data source=" � "AutoCreate=TRUE password=*" � "Index of /" +password.txt � "Index of /password" � "mysql dump" filetype:sql� "pcANYWHERE EXPRESS Java Client" � "VNC Desktop" inurl:5800 � "phpMyAdmin MySQL-Dump" "INSERT INTO" -"the“� "phpMyAdmin MySQL-Dump" filetype:txt� "phpMyAdmin" "running on" inurl:"main.php“� "robots.txt" "Disallow:" filetype:txt� intitle:"Remote Desktop Web Connection" inurl:tsweb� intitle:"Welcome to Windows 2000 Internet Services" � inurl:"printer/main.html" intext:"settings“� intitle:index.of administrators.pwd
其它語法與關鍵字
� Johnny ihackstuff
� http://johnny.ihackstuff.com
� Google Hacking Database (GHDB)
� http://johnny.ihackstuff.com/ghdb/
� 找尋 Vulnerable Servers 語法� http://johnny.ihackstuff.com/ghdb/?function=summary&cat=9
� 找尋 Web Server Detection 語法� http://johnny.ihackstuff.com/ghdb/?function=summary&cat=7
如何防止Google Hacks 之一� 在網路伺服器上,增加一個 robots.txt。然後在這
個檔案中加入「User-agent: allow: Disallow:」這參數進行設定,一般來說都可以阻止有道德的搜尋引擎程式讀取並儲存您的網頁。
� User-agent:GooglebotDisallow:/*.mdb$
� User-Agent:yahoobotDisallow:/*.mp3$
� User-agent:*Disallow:/*.*
如何防止Google Hacks 之二
� 可以在網頁的HEAD區段中,加入一些特殊的HTML META TAG標籤,來指出某一個網頁是否可以被索引、分析或鏈接。例如你可以加入。
<META NAME=“ROBOTS” CONTENT=“NOINDEX”> 表示:不希望搜尋引擎處理、儲存這個網頁。
<META NAME=“ROBOTS” CONTENT=“NOARCHIVE”> 表示:希望搜尋引擎處理這個網頁,但是不儲存網頁,也就是說,不會有庫存頁。
<META NAME=“ROBOTS” CONTENT=“NOFOLLOW”> 表示:希望搜尋引擎處理這個網頁,但是不繼續處理這個網頁中另外連結的網頁。
<META NAME=“ROBOTS” CONTENT=“NOINDEX,NOFOLLOW”> 表示:不希望搜尋引擎處理、儲存這個網頁,以及這個網頁中另外連結的所有資訊。
如何防止Google Hacks 之三
� 將敏滿性的網頁資料檔案 或 目錄移動到網路伺服器可以存取的檔案或目錄範圍 或 乾脆刪除該檔案而不要放至於Web Server 中。
� 在網路伺服器上,將該網頁檔案或目錄的設定讀取權限設為保護或需密碼才能讀取。
� 採用「https:」安全加密或鑲嵌憑證的方法存取機密性網頁。
� 做好網頁程式(asp、php、jsp等)的安全驗證,即使被找到機密網頁也能確保在權限等安全控管技術之下,不被進入網頁中存取資料。
Google Hacks 相關參考網址� 搜尋引擎過濾單位機密資料方法� http://gsn-cert.nat.gov.tw/forgoogle.html
� 從 Google 的索引中移除我的內容� http://www.google.com/support/webmasters/bin/answer.py?hl=
b5&answer=136868
� 實戰設計robots.txt與 標籤� http://www.ithome.com.tw/itadm/article.php?c=35591
� 知名搜尋引擎Web入侵手法� http://anti-hacker.blogspot.com/2007/01/web.html
� Google Hacks� http://anti-hacker.blogspot.com/2007/06/google-hacks.html
� 入侵你家的網路監視器!� http://anti-hacker.blogspot.com/2007/06/blog-post_18.html
補充資料:
� OWASP網站: http://www.owasp.org
� OWASP TOP 10 2013
� 英文版下載處� http://owasptop10.googlecode.com/files/OWASP%20Top%2010
%20-%202013.pdf
� 簡體中文版下載處� https://www.owasp.org/images/5/51/OWASP_Top_10_2013-
Chinese-V1.2.pdf
OWASP TOP 10 Web ApplicationSecurity Risks (2013)
A1:注入弱點 A6:敏感資訊洩漏
A2:身份驗證缺陷與連線階段管理 A7:功能層級的存取控制缺失
A3:跨網站腳本攻擊(XSS) A8:跨網站請求偽造攻擊(CSRF)
A4:不安全的直接物件參考 A9:使用含有已知漏洞的元件
A5:錯誤或不安全的系統組態 A10:未驗證的轉址與轉送
參考資料:https://www.owasp.org/index.php/Top_10
A1:注入弱點
� 說明:� 網站應用程式執行來自外部包括資料庫在內的惡
意指令,SQL Injection 與 Command Injection 等攻擊包括在內。 因為駭客必須猜測管理者所撰寫的方式,因此又稱「駭客的填空遊戲」。
A1:注入弱點
� 防護建議:� 使用預存程序,例如:
◦ Java PreparedStatement(),◦ .NET SqlCommand(), OleDbCommand(),◦ PHP PDO bindParam()
� 使用 Stored Procedures
� 嚴密的檢查所有輸入值� 使用過濾字串函數過濾非法的字元� 控管錯誤訊息只有管理者可以閱讀� 控管資料庫及網站使用者帳號權限為何
SQL Injection 利用
� 引起的原因為網頁程式設計師在撰寫asp或php程式的時候,對呼叫(ADO連線)後端資料庫的帳號權限太大,在加上對特殊字串以及語法沒有過濾或者過濾不完全而導致的。
� 其最主要的攻擊目標為資料庫,以取得下列資訊為主:◦ 獲取資料庫帳號及密碼◦ 獲取作業系統帳號及密碼◦ 利用「XP_CmdShell」執行DOS指令◦ 猜測網頁實體路徑來進行換首頁或上傳/下載文件◦ 上傳網頁木馬並植入後門
SQL條件式語法漏洞
� 主要出現在登入帳號的asp或php程式上,利用這個漏洞就可以不需要帳號密碼進入管理畫面。
� 主要為網頁程式設計的瑕疵:◦ 沒有對單引號「‘」或雙引號「''」進行過濾。◦ SQL條件式and、or的邏輯沒有考慮。◦ SQL語法的where子句所傳入的變數沒有檢查。◦ SQL語法中- - 是表示該符號之後的語法或參數變成註解
� 語法:◦ ‘or’=‘or’ a'or'1=1- - 'or1=1- -◦ ''or1=1- - or1=1- - 'ora‘='a◦ “or”=“a’=‘a ')or(‘a‘='a
網頁應用程式語法:有問題版
� sql_cmd = "select * from mydatabase where id='" & Request("id") & "' and passwd='" & Request("passwd") & "'“
� 傳入惡意語法後
� sql_cmd = "select * from mydatabase where id='" 'or 1=1 -- "' and passwd='" & Request("passwd") & "'“
� 則變成前面的where條件為1=1而後面的password則因- -變成註解,所以就不用密碼可進入。
網頁應用程式語法:修正版
� 以程式設計的觀點來看,將表單或查詢字串直接帶入 SQL 語法,是一切弊病的源頭,要徹底排除SQL 資料隱碼攻擊,必須從根源對症下藥。也就是必須在取得表單資料後,針對單引號進行過濾,然後再組合為 SQL 語法,例如:
� sql_cmd = "select * from mydatabase where id='" & Request("id") & "' and passwd='" & Request("passwd") & "'"
� 應該改為� myid = Replace(Request("id"),"'","'+chr(34)+'")
� mypwd = Replace(Request("passwd"),"'","'+chr(34)+'")
� sql_cmd = "select * from mydatabase where id='" & myid & "' and passwd='" & mypwd & "'"
SQL Injection 相關參考網址
� SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲◦ http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm
◦ http://www.microsoft.com/taiwan/sql/SQL_Injection_G2.htm
� 資料隱碼SQL Injection 的因應與防範之道◦ http://www.microsoft.com/taiwan/sql/SQL_Injection.htm
� ASCII碼對照表◦ http://www.lookuptables.com
� SQL Injection 檢測工具(無殺傷力)◦ http://www.databasesecurity.com/sqlinjection-tools.htm
A3:跨網站腳本攻擊(XSS)
� 說明:� 網站應用程式直接將來自使用者的執行請求送回
瀏覽器執行,使得攻擊者可擷取使用者的Cookie 或 Session 資料而能假冒直接登入為合法使用者。
A3:跨網站腳本攻擊(XSS)
� 防護建議:� 檢查頁面輸入數值� 輸出頁面做 Encoding 檢查� 使用白名單機制過濾,而不單只是黑名單� PHP 使用 htmlentities 過濾字串� .NET 使用 Microsoft Anti-XSS Library
XSS 利用
� Cross Site Scripting(XSS)跨網站功擊:
� XSS產生的原因是由於網頁程式設計師在撰寫程式時,對於一些變數沒有充份過濾,直接把使用者所送出的資料送往Web Sever執行。這樣的程式流程造成攻擊者可以送出一些特別製造的Script語法,只要成功送往後端執行成功,便可達成如:竊取cookie、植入網頁木馬等原本不存在的「功能」。
XSS的探測和繞過過濾
� 基本檢測語法:� <script>alert(“xss”)</script>� 如果<script>被過濾,則改用� <img src=javascript:alert(“xss”)>� 如果javascript:被過濾,則用16進位的值取代一些關鍵字� <img src=“javascript:alert(/xss/)”>� 也可用空白字元、Tab添加� <img src=“javas cript:alert(/xss/)” width=0>� 或者用語法的事件與屬性來避免關鍵字被攔截� <img src=“#” onerror=alert(/xss/)>� <img src=“#” style=“xss:expression(alert(“xss”));”>
� 例如:Yahoo Mail的XSS語法(已修正)� <STYLE onload=“alert(‘cookies
exploit!’);alert(document.cookie)”>
Cookie 欺騙
� Cookie記錄著使用者的帳戶ID、密碼之類的訊息,如果在網上傳遞,通常使用的是MD5方法加密。這樣經由加密處理後的訊息,即使被網路上一些別有用心的人截獲,也看不懂,因為他看到的只是一些無意義的字母和數字。
� 然而,現在遇到的問題是,截獲Cookie的人不需要知道這些字串的含義,他們只要把別人的Cookie向伺服器提交,並且能夠通過驗證,他們就可以冒充受害人的身份,登陸網站。這種方法叫做Cookie欺騙。
� 手法:◦ 截獲他人Cookie內的帳號與密碼獲取權限,搭配其它手法
進行「掛馬」等更進一步攻擊。
竊取已驗證的 Facebook Cookies
1. 使用 nmap 確認閘道端(無線網路基地台)的IP所在地。
2. 使用 arpspoof 進行ARP欺騙來讓原本要從無線基地台出去的被害人封包先轉向到攻擊者的電腦。
3. 開啟 Firefox 加裝附加元件 Greasemonkey 來執行 cookieinjector的 script。
4. 瀏覽 facebook 網站(但不要登入)確認可以觸發 script 。
5. 啟動 wireshark 開始側錄從被害人導流過來的封包,並設定過濾條件只需要 FB 的 cookie (該cookie就會包含該被害人的帳號與密碼資料)。
6. 複製被害人封包內的 Text 資料,並將其貼上的 Firefox 上等待觸發的script 附加元件。
7. 重新整理後 Firefox 就會將原本被害人封包內的帳號密碼等身份資料填入瀏覽器,偽冒變成對方的身份了。
XSS相關參考網址
� Cross Site Scripting questions and answers http://www.cgisecurity.com/articles/xss-faq.shtml
� Apache Cross Site Scripting Info http://httpd.apache.org/info/css-security/
� How to prevent cross-site scripting security issues http://support.microsoft.com/kb/q252985/
� Information on Cross-Site Scripting Security Vulnerability http://www.microsoft.com/technet/archive/security/news/crssite.mspx?mfr=true
� Microsoft Anti-Cross Site Scripting Library V1.0 http://www.microsoft.com/downloads/details.aspx?familyid=9A2B9C92-7AD9-496C-9A89-AF08DE2E5982&displaylang=en
網頁木馬流程阻擋點之一駭客
跳版網站
[上傳] 具FSO功能的網頁木馬
知名的官方網站
不知情的一般使用者
首頁
阻擋策略:
設備 服務� 網頁應用程式防火牆� 封鎖異常來源IP
� 入侵偵測系統 IDS/IDP
� 觀察異常封包
� 防毒牆(由外到內)
� 阻擋傳入的木馬
� 搜尋引擎的阻擋� 弱點掃描� 滲透測試
網頁木馬流程阻擋點之二駭客
跳版網站
[掛馬] 將首頁或其他網頁植入<iFrme>隱藏框架引導到跳版網站
[上傳] 具FSO功能的網頁木馬
知名的官方網站
不知情的一般使用者
首頁
阻擋策略:
設備 服務� SUS / WSUS
� 修補系統漏洞
� Web、DB的權限控管
� 企業型防毒軟體及防間諜軟體
� LOG及事件分析軟體
� Web與DB的備份軟體
� 搜尋引擎的阻擋� 弱點掃描� 滲透測試� 程式碼檢測� 檢視與設定資料夾權限� 移除不需要及罕用的服務� 變更系統與Web相關預設
值
網頁木馬流程阻擋點之三駭客
跳版網站
知名的官方網站
不知情的一般使用者
漏洞型網馬原生型木馬
首頁
阻擋策略:
設備 服務� 網頁應用程式防火牆� 封鎖異常來源IP
� 入侵偵測系統 IDS/IDP� 觀察異常封包
� 防毒牆(由內到外)� 阻擋傳輸的木馬
� Proxy Server 的黑白名單
� 網址過濾或攔截的設備與軟體
� 收集易被植入或經常感染的網址成為黑名單
網頁木馬流程阻擋點之四駭客
跳版網站
知名的官方網站
不知情的一般使用者
阻擋策略:
設備 服務� Windows Update /
Microsoft Update� 修補系統漏洞
� 單機型防毒軟體及防間諜軟體
� 個人單機型防火牆
� 網頁瀏覽安全防護軟體
� 個人資料的備份軟體
� 善用線上掃毒比對不同防毒� 本機 HOSTS 惡意網址清
單� 改用其它瀏覽器可以改善(
但不能完全避免)
結論
�APT駭客攻擊防護作業
�郵件社交工程演練作業
�Web網站防護作業
• 講師: 呂守箴• E-Mail:[email protected]
• 部落格:• 網路攻防戰:http://anti-hacker.blogspot.com
• Plurk噗浪: http://www.plurk.com/openblue
• FB粉絲團:https://www.facebook.com/NetWarGame� G+專頁:https://plus.google.com/u/0/118062628172252352420
• Youtube影片頻道:http://www.youtube.com/user/openblue• 網路直播頻道:http://zh-tw.justin.tv/openblueTV