Web應用程式安全防護

國家資通安全會報技術服務中心

2012/2/29

1

大綱

ü Web應用程式的威脅趨勢

ü Web應用程式的常見資安風險

ü 網頁應用程式安全性注意要點

ü 2011年最新威脅

Web應用程式的威脅趨勢

3

駭客手法演變

ü Web 1.0 (1990 至 2000)− 駭客為了知名度

Ø 網頁置換

ü Pre-Web 2.0 (2000 至 2004)− 駭客為了控制網頁伺服器

Ø 用戶資料庫、信用卡號碼、交易紀錄

− 對個人電腦沒興趣

ü Web 2.0 (2004 至 2009)− 人人是高度網路化的世界公民，從電腦可找出生活足跡

− 駭客對於個人電腦更有興趣

4

5

Google Trends

6

網際網路攻擊趨勢的轉變

ü 超過七成的攻擊來自應用層，而非網路層

--- Gartner 2006

ü 保護網路是不夠的，應用層才是駭客的目標

--- IDC 2006

ü 問題在於現有的資安解決方案都針對網路層攻

擊…--- Forrester 2006

7

現有Web應用程式部署與防護架構

Database Servers

Customer InfoBusiness Data

Transaction Info

機敏資料

Web應用程式系統客製的功能元件

第三方套件、開放源碼等

七成的攻擊是針對這裡 (Gartner)七成的攻擊是針對這裡 (Gartner)

網路

作業系統

資料庫

作業系統

應用程式伺服器

作業系統

網頁伺服器

網路層防火牆

入侵偵測/入侵防禦

僅靠 防火牆 + 網路端入侵防禦系統 + 防毒牆 是完全不夠的！！

這些客製的Web應用程式有任何防護嗎??

8

OWASP

官方網站 http://www.owasp.org

• OWASP: Open Web Application Security Project

•研議協助解決Web軟體安全之標準、工具與技術文件

9

OWASP Top Ten Project

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

10

A1 Unvalidated Input

A2 Broken Access Control

A3 Broken Authentication / Session Mg

A4 Cross Site Scripting

A5 Buffer Overflow

A6 Injection Flaws

A7 Improper Error Handling

A8 Insecure Storage

A9 Application Denial of Service

A10 Insecure Configuration Management

網站資安風險排行榜

A1 Cross Site Scripting (XSS)

A2 Injection Flaws (e.g., SQL injection)

A3 Insecure Remote File Include (e.g. File Inclusion)

A4 Insecure Direct Object Reference (e.g. File Injection)

A5 Cross Site Request Forgery (CSRF)

A6 Information Leakage and Improper Error Handling

A7 Broken Authentication / Session Mgmt

A8 Insecure Cryptographic Storage

A9 Insecure Communications

A10 Failure to Restrict URL Access

OWASP 2004 OWASP 2007源碼檢測

不當設定

資料來源: 美國 OWASP 十大Web常見弱點(OWASP Top 10)

11

OWASP Top 10 2010ü 最新的網站十大資安風險: SQL等注入類第一名，XSS第二

資料來源: OWASP

12

十大Web 罪犯(三大惡寇)

1.XSS3. SQL Injection

2. Resource Injection

資料來源: WASC (WebApplication SecurityConsortium), 2008

13

網站可被打穿的漏洞「越來越多」à受駭風險高

ü 國際專業機構利用「源碼檢測」等技術分析3萬個網站之統計結果

ü 每個網站平均有13.11個漏洞(包括8.91個嚴重漏洞)

資料來源: 2008年9月美國網站安全聯盟(Web Application

Security Consortium; WASC)

14

被打穿的漏洞都是「不當輸入」à防護的當務之急

ü 超過半數的弱點是跨網站入侵字串（XSS）

ü 其次是SQL 嵌入攻擊（SQL Injection）

資料來源: 2008年9月美國網站安全聯盟(Web Application Security Consortium; WASC)

1

2

15

近年重大網站安全漏洞與事件Google (04 Jul., XSS): Account leakage 帳號外洩

Consequences: Leakage of customer data

Paypal (16 Jun., XSS): Account leakage, Business loss帳號外洩Consequences: Leakage of customer data and financial loss

Netscape.com (26 Jul., XSS): Business lossNetscape introduced its Digg.com-style service and offered $1,000 conversion reward

Consequences: Customers redirect to competitor’s website!

Myspace (16 Jul., XSS): Account leakage帳號外洩World's No.1 most visited website with 70M members

Consequences: Leakage of customer data

Sourceforge got hacked by XSS (09 Apr.): Tainted Repository內容遭汙染Consequences: Hosting tainted repository

Many others: Hotmail (XSS), Yahoo Mail (XSS), ICQ (XSS)

16

慘痛的教訓 (大家還記得嗎? )

ü 2007年12月25日，某報頭條

17

2011年某網頁受駭畫面

Web應用程式的常見資安風險

19

Web應用程式的常見資安風險(1/2)

ü 跨網站入侵字串弱點(XSS, CWE 79)

ü SQL注入弱點 (CWE 89)

ü 資源注入弱點 (CWE 99)

ü 命令注入弱點 (CWE 77)

ü HTTP應答分割 (CWE 113)

ü 反射注入弱點 (CWE 470)

20

Web應用程式的常見資安風險(2/2)

ü 明文密碼缺失(CWE 259)

ü 資訊揭露 (CWE 200)

ü CRLF 注入 (CWE 93)

ü 程式碼注入 (CWE 94)

21

跨網站入侵字串 (XSS)ü 跨網站入侵字串弱點(XSS, CWE 79) 是一個允許攻擊者植入惡意程式碼，並讓瀏覽器執行的

弱點

ü 依賴Web應用程式接受不可信任之字串，並將此作為輸出HTML文件的內容之一

ü 受害者的瀏覽器將被迫執行任意的腳本語言

ü 瀏覽器允許這些惡意程式存取cookies，session tokens以及其他該網站專用的敏感資訊

ü 被應用於製作巧妙的釣魚網站，以及竄改合法

的網頁內容

22

我國第一個上報的XSS事件

ü “和對方在網路上展開十幾分鐘的攻防，最後終於逼退對方，初步統計僅有十三筆資料在過程

中被竊走”?!(2006年11月)

23

國際上最有名的首宗XSS事件

ü 利用XSS漏洞在個人簡介一欄植入惡意腳本(JavaScript)，在不到20小時內即感染超過一百萬個MySpace.com用戶，最後整個網站癱瘓。

(2005/10)

24

XSS攻擊案例-My SpaceSamy

個人簡介 1.Samy在個人簡介植入XSS攻擊script

2.使用者A瀏覽Samy個人簡介

3. 傳送資訊包含Samy的XSS惡意script

個人簡介

3.1. 使用者A將Samy加入好友

4. 使用者B瀏覽使用者A個人簡介

使用者A使用者B

5. 使用者A傳送資訊包含Samy的XSS惡意script

XSS Script<script>………</script>

3.2. 使用者A將惡意的XSS script加入自己的個人簡介

XSS Script<script>………</script>

個人簡介

XSS Script<script>………</script>

6.1. 使用者B將Samy加入好友

6.2. 使用者B將惡意的XSS script加入自己的個人簡介

25

XSS原來這麼簡單…

http://localhost/xss.jsp?version=“><script>alert('XSS')</script>

<HTML><Body>

<script>alert('XSS')</script></Body>

</HTML>

26

XSS運作流程圖

ü 駭客一旦找到某個URL網址有XSS弱點，他平時所收集的惡意腳本就可派上用場，形成威力驚人的XSS攻擊字串

脆弱的Web應用程式

1. URL +“惡意腳本”

駭客

受害者

2. HTTP要求 + “惡意腳本”

3. 網頁回應(已內含惡意腳本)

4. 瀏覽器執行該惡意腳本

27

SQL 注入 (SQL Injection)ü SQL注入弱點 (CWE 89) 發生在資料庫伺服器可以被用來執行外部的SQL命令時. 一般來說都是由網路應用程式的前端執行, 這種攻擊包含輸入惡意組成的SQL語法, 造成資料庫伺服器執行未授權的SQL命令。

ü 當具有下列情況時, 一個應用程式就有SQL注入弱點:− 使用者輸入沒有被過濾, 或是被不正確的過濾, 造成

SQL語法中有跳脫字元。

− 使用者輸入沒有被限制 -例如使用強類型 -因此可以被以非預期的方式執行。

28

大規模SQL注入攻擊

ü 自動化工具、SQL注入弱點、Google搜尋引擎à完美的大規模SQL注入攻擊

(2008/05/13 迄今)

29

實務案例: 提供名字查詢卡號

ü 當輸入Smith時，會將資料庫中符合Smith的資料顯示至頁面

ü Can he also see others’ credit card numbers?

ü It’s not easy to guess the name one by one though…

30

以OR 1=1概念作SQL注入

ü SELECT * FROM user_data WHERE last_name='Smith' OR '1'='1'--'

31

此時所有資料都滿足該查詢語句

3232

命令注入 (Command Injection)

命令注入弱點 (CWE 77) 發生在程式接收使用者輸入的資料, 並利用這些資料去執行系統命令. 在許多情況下, 攻擊者可以控制這些資料, 藉以執行並非程式原先意圖執行的命令

system("grep data.txt $keyword > result.log");如果使用者輸入「;ls;」，則指令變成system("grep data.txt ;ls; > result.log");

33

換行符注入 (CRLF Injection)

ü CRLF 注入 (CWE 93) 發生在應用程式使用CRLF (表示Carriage Return (ASCII 13，\r)及Line Feed (ASCII 10，\n))，當作特殊原件 (例如換行)，卻並未正確的過濾輸入中的CRLF

34

Example: CRLF Injection in Log File

ü If someone input: I agree with you \n18/07/2009-10:00:00 Admin Thank You

It’s gooduserA18/07/2009-02:22:16

MessageUser nameDate

I agree with youbadguy18/07/2009-06:02:54

It’s gooduserA18/07/2009-02:22:16

Thank YouAdmin18/07/2009-10:00:00

MessageUser nameDate

35

明文密碼 (Hard-coded Password)

ü 明文密碼缺失(CWE 259) 是將密碼直接儲存在程式碼中。這種撰寫風格會造成密碼管理上的

困難，因為：

− 所有專案的開發人員都可以看到程式碼，不論它們

的權限如何

− 明文密碼有可能被從已編譯過的程式碼中取出

− 當軟體已進入生產，密碼無法被更改，除非是發行

修正程式

− 當密碼要更改時，每個包含密碼的檔案都必須跟著

更新

36

37

網頁應用程式安全性注意要點

38

程式維護

ü 無論是自行或委外進行Web應用程式的維護作業之注意要點：

− 須遵照組織政策及安全維護程序

− 參考系統文件進行正確的維護作業

− 更版均需檢附資安評估報告

39

如何確保網站的安全

ü 上線前

− 進行網頁程式原始碼檢測

− 移除測試用的資料與備份的程式碼

− 確認網頁伺服器之安全性 (正確的設定+安裝安全性更新)

ü 上線後

− 建置網頁型防火牆

− 定期進行弱點掃描與滲透測試

− 針對檢測結果調整防火牆設定

40

資訊委外的必要控制措施

安全的軟體開發生命週期

(SSDLC

)

專案驗收

定期維護/風險評鑑

徵求建議書

測試與驗收測試與驗收(Testing)(Testing)

品質確保

程式實作程式實作(Implementation)(Implementation)

架構設計架構設計(Design)(Design)

需求分析需求分析(Requirements)(Requirements)

系統驗收

威脅模型

資安架構

教育訓練

即時監控修補與更版

風險評估

資安要求

安全源碼撰寫

部署、運作與維護部署、運作與維護(Maintenance)(Maintenance)

41

Web應用程式安全防護

ü 你無法完全避免資安問題的產生，但要能夠進

行處理並避免資安事件不斷重覆發生

ü 避免網站資安問題

− 良好的安全設定是先決條件

− 持續保持良好的安全設定是必要條件

ü 避免網站資安事件不斷重覆發生

− 分析根本原因，並予以排除

− 落實執行力

Ø 安全管理、制訂之程序與安全設定的要求

− 定期與不定期進行稽核與測試

42

2011年最新攻擊趨勢

43

RSA、Google、Sony攻擊手法(1/2)

ü RSA被駭導致Lockheed Martin(美國頭號軍火商)資料遭竊

− Adobe Flash Player CVE-2011-0609 'SWF' File Remote Memory Corruption Vulnerability (0-day)

ü 2011/5 Comodo多次被駭客入侵其經銷商系統，成功發放 www.google.com、login.yahoo.com、 login.skype.com這些知名網站的憑證− 偽裝成高階主管對MIS發送社交工程信件

44

RSA、Google、Sony攻擊手法(2/2)

ü Sony被駭原因：是一名年輕駭客George Hotz破解了PS3防護，成功將Linux安裝至PS3並順利運行。Sony因此對George提告，導致Anonymous不滿而入侵Sony− 只看到了一點LOG記錄，攻擊手法不詳

ü 駭客會為了主要目標而尋找各種能達成目的的

方法，如入侵協力廠商、第三方認識機構…等

45

戰術化滲透測試 (Advanced Persistent Threats, APT)

ü 傳統滲透測試

− 針對特定服務或弱點

− 通常無事先規劃測試方針

− 測試效能與效率較不顯著

ü 戰術化滲透測試

− 測試前蒐集目標資訊

− 根據目標資訊擬定測試方針

− 測試效能與效率較高

46

戰術化滲透測試流程

ü 研究與偵查目標(分析目標) − 盡可能地取得受測目標的資訊

ü 準備滲透工作

− 根據所蒐集的資訊擬定測試方針

ü 進行滲透

− 根據測試方針執行滲透測試

ü 弱點利用

− 利用滲透測試過程中所發現的弱點

47

研究與偵查目標(分析目標)

ü 受測目標資訊

− IP、作業系統、伺服器版本及實體位置等資訊

− 相關人員資訊，如管理者姓名、職稱及電話等資訊

− 信賴關係

ü 利用網際網路資源

− 低成本，多為免費資源

− 低風險，受測目標不易察覺

− 高價值，可取得大量資料

48

不同時期網站快照

49

準備滲透工作

ü 分析所蒐集之資料，過濾出可利用之資訊

ü 根據分析後之資料，擬定測試方針

− 各種作業系統版本具有不同漏洞

− 各種網頁套件具有不同弱點

− 不同網路防護設備的特性

− …

50

FCKEditor預設上傳介面

51

進行滲透

ü APT攻擊− 針對特定目標

− 持續性攻擊

− 具有PDCA特性

ü 魚叉式網路釣魚(Spear Phishing) − APT攻擊常用之手法

− 針對公司或組織特定人士

− 發送真偽難辨之社交工程郵件

52

魚叉式網路釣魚(Spear Phishing)

ü 經常搭配PDF文件進行攻擊− PDF內建多種可被利用之元件− 如Launch、OpenAction、Java Script及Flash等

ü 惡意Java Applet− 假冒簽章進行簽核

− 不易防範

ü 根據不同公司或組織設計社交工程文件− 模仿公司或組織之公開文件

− 發送給特定人士

53

弱點利用

ü 透過已取得控制權的主機做為跳板

ü 進行更加深入之滲透

ü 維持與匿蹤

− 維持已取得之主機權限

− 避免遭到防護設備或資安人員察覺

54

遠端開啟遠端桌面服務

fix_ts_policy.ini

enable_ts.reg

遠端啟動遠端桌面指令

55

APT-Deezer

56

Android上的威脅

57

Android上七大威脅 (1/2)

ü Intents假冒(Intents Spoofing) − 惡意的應用程式偽造Intents，傳送Intents至其他應用程式，造成資料注入或狀態改變的後果

ü 查詢字串注入(Query String Injection) − 應用程式沒有嚴格限制輸入來源時與輸入內容時，

可以讓惡意應用程式存取非授權的資料

ü 未授權Intents攔截(Unauthorized Intent Receipt) − 惡意程式可能中途攔截正常傳送的Intents，並且從中竊取重要資料

58

Android上七大威脅 (2/2)

ü 持續發送廣播(Persistent Messages:Sticky Boardcasts)

− 惡意程式傳送不正常的廣播至其他應用程式

ü 不安全的儲存(Insecure Storage)

− 目前存放於SD卡之資料無存取限制

ü 不安全的通訊(Insecure Communication)

− 部分應用程式傳送封包至網際網路時並未進行加密

ü 需求過大權限應用程式(Overprivileged Applications)

− 應用程式要求取得不需使用之手機存取權限

59

Android平台安全機制

ü 避免應用程式進行非法存取

ü 應用程式間透過Intents溝通

60

Facebook上的個人隱私

61

臉書上的臉孔 –強化實體隱私

ü 每個月有超過25億張照片被上傳至Facebook上

ü Google、Apple及Facebook等公司都有在研究臉部辨識相關技術

ü 雲端技術的發展

ü 個人隱私是否受到威脅？

62

實驗一：線上資料間之連結

63

實驗二：透過離線資料搜尋線上資料

64

臉部辨識對隱私的威脅

ü 對手機或相機拍攝之相片，進行臉部辨識分析

ü 透過網際網路搜尋相關資料

ü 取得個人資料

ü 對個人隱私造成威脅

65

結論

ü 網站系統的安全是複雜而多樣的，任一環節有弱點出現，都可能進一步影響網站安

全

ü 網站安全管理(PDCA)− (P)規劃及確認網站系統的安全目標− (D)確認網站系統的安全狀態− (C)持續測試與稽核是持續維護網站安全的

必要條件。

− (A)發現問題及進行改善，並避免再度發生。

66

報告完畢

敬請指教