Mais conteúdo relacionado
Semelhante a HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎 (20)
Mais de HITCON GIRLS (17)
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
- 14. • 購買 / 註冊網址
• 準備架網站的空間
• 建置網站的程式
• 設定網站的樣板
• 建立資料庫
- 17. OWASP
• OWASP - Open Web Application Security Project (開放Web軟
體安全計畫)
• OWASP TOP 10 – 最常見的十大網路應用系統安全弱點
• 通常大約三~四年更新一次.
• 這次的課程主要探討的是 OWASP TOP 10 的 2017 版本
• 很不幸的在開講前一個月更新了…
- 18. OWASP TOP 10
A1 - Injection
A2 - Broken Authentication and Session Management
A3 - Cross-Site Scripting(XSS)
A4 - Broken Access Control
A5 - Security Misconfiguration
A6 - Sensitive Data Exposure
A7 - Insufficient Attack Protection
A8 - Cross Site Request Forgery (CSRF)
A9 - Using Components with Known Vulnerabilities
A10 - Underprotected APIs
- 24. A2 - BROKEN AUTHENTICATION AND SESSION
MANAGEMENT
失效的驗證與連線管理
- 34. XSS - 跨站腳本攻擊
• 攻擊者寫入惡意的 Script (腳本) 讓瀏覽器送回到網頁端
執行
• 也是 Injection (注入攻擊)
- 36. 如何預防 XSS
• 白名單
• 在 Web 頁面時,建議過濾以下語法
• 在 HTML tag 時,建議過濾以下語法
• 限制輸入字串的長度
< >
< > " '
- 39. 存取控制不嚴謹 範例
• 跨目錄存取
• 網頁正常語法
• 變更 URL 後方參數
http://www.sample.com/show.php?file=1.html
http://www.sample.com/show.php? file=../../../../../etc/passwd
- 44. 如何防範
• 刪除非必要的功能 / 物件
• 例如:測試頁面、範本檔案等
• 已經不再使用的元件
• 關閉不需要的功能 / 服務
• 例如:連接埠、服務、帳號等
• 移除或變更預設的帳號密碼
• 軟體或作業系統是否已更新至最新版本
- 52. CSRF -跨站冒名請求 範例
• OO銀行的線上轉帳網址
• 攻擊者在QQ網頁放置相同的網址
• 使用者A瀏覽到QQ網頁,且也曾經在瀏覽器上登入過
OO銀行線上系統
• 使用者A的銀行戶頭被轉走1000元
http://www.OObank.com/money?account=AccoutName&amount=1000&for=PayeeNam
- 54. A9 - USING COMPONENTS WITH KNOWN
VULNERABILITIES
使用已知漏洞元件
- 57. 未受保護的 APIS
• Application Programming Interface ( API, 應用程式介面)
• 簡化不同系統互相溝通時的介面
• API 有什麼風險?
• 權限設定
• 如何保護 API
• 白名單
• 過濾有害的字元或惡意語法