資安工作的常用技術入門

Transcript

1. 資安工作的常用技術入門 虎虎

2. 故事是從撿到一根魔杖開始…

3. 然後就轉職成魔法師了(？)

4. 但其實我原本的夢想呢(？)

5. 畢業之後

6. 資安工作的就職環境 • 客戶端 • 系統整合商 • 資安產品廠商

7. I am the King of the World

8. 做人比做事重要

9. 錢能解決的事都不是事兒

10. 資安工作的初階轉職樹 • 軟體安全開發人員 • 產品相關檢測人員 • 網路設備管理人員 • 資安相關技術講師 •

    漏洞獎金獵人

11. 資安入門建議 • 培養資安意識 • 關注資安時事 • 加入資安社群

12. iThome 資訊安全 www.ithome.com.tw/security

13. 台灣網路危機處理暨協調中心 twcert.org.tw

14. 行政院國家資通安全會報中心 www.nccst.nat.gov.tw

15. HITCON ZeroDay zeroday.hitcon.org

16. 社群資源 交流平台 社群分享 線上課程

17. TDOH tdoh.logdown.com

18. 亥客書院 hackercollege.nctu.edu.tw

19. 資訊安全聯合發展協會(ISDA) www.isda.org.tw

20. 敢問 懂問

21. 軟體開發安全

22. None

23. 需求 設計 開發/測試 建置 維運 程式安全教育訓練 Secure Coding Security Requirements

    Code Review Dynamic Testing 安全威脅分析 程式碼安全檢查 主機弱點掃描 網站弱點掃瞄 滲透測試 Continuous Defense & Monitoring 網站防火牆 資安事件鑑識 Security Design Security Risk Analysis 安全需求分析 安全設計 ★ ★ ★ ★ ★ ★ ★

24. 需求分析

25. 花旗銀驚傳系統當機 客戶存款全面歸零 2019/01/30 www.ettoday.net/news/20190130/1369498.htm

26. 需求 設計 開發/測試 建置 維運 程式安全教育訓練 Secure Coding Security Requirements

    Code Review Dynamic Testing 安全威脅分析 程式碼安全檢查 主機弱點掃描 網站弱點掃瞄 滲透測試 Continuous Defense & Monitoring 網站防火牆 資安事件鑑識 Security Design Security Risk Analysis 安全需求分析 安全設計 ★ ★ ★ ★ ★ ★ ★

27. 開發設計

28. 威脅類型列表 - STRIDE 字義 描述 Elevation of Privilege (權限提升) 未經正常授權取得權限能力

    授權 
(Authorization) Spoofing
 (偽冒) 冒充為某人或某物 身分驗證
 (Authentication) Tampering
 (竄改) 惡意的修改資料 完整性 
(Integrity) Repudiation (否認行為) 使用者可以否認曾經進行某行為，
沒有 方法可以證明其行為 不可否認性
(Non- Reputation) Information Disclosure (資訊洩漏) 資訊被洩漏給不可存取的個體 機密性 
(Confidentiality) Denial of Service (拒絕存取服務) 對使用者拒絕服務或降低服務水準 可用性 
(Availability)

29. 威脅類型 組成元素 偽冒 (S) 竄改 (T) 否認 行為 (R) 資訊

    洩漏 (I) 拒絕存 取服務 (D) 權限 提升 (E) 威脅列表 使用者 V S︰未對來源進行驗證 新增留言 V V D︰同時間可能有大量存取 E︰該程序使用過高系統權限 留言內容 V V T︰未對資料進行完整性保護 I︰未對資料進行加密保護 留言資料表 V R︰未記錄資料存取行為

30. 風險因子 - DREAD 字義 高(3分) 中(2分) 低(1分) Da ma ge

    Potential (可能傷害) 攻擊者取得完整的機敏資 料以取得系統最高權限 洩漏部分機敏資料 洩漏系統細節資訊 Reproducibility (可重製性) 攻擊可以不停重製且不需 要暫停時間 攻擊可以重製，但需要 暫 停時間 攻擊難以重製，或需 要對弱點有深入知識才能 重製 Exploitability (可刺探性) 不具有相關技能者也可以 發動攻擊 具有相關技能者可以發 動 攻擊 需要對弱點有深入知識才 能發動攻擊 Affected Users (影響使用者數) 所有的使用者 部分使用者 極低比例的使用者 Discoverability (可發現性) 公開資訊已揭露攻擊手法 及漏洞 已被找到相關的資訊， 但 漏洞尚未被揭露 極少用到的功能且使用者 難以找到漏洞

31. 風險值評估 - DREAD 威脅項目 資產項目 可重製 性 可刺探 性 可發現

    性 可能傷 害 影響人 數 風險值 未對來源進行驗證 使用者 2 2 2 2 3 30 (2+2+2) X (2+3) = 6 X 5 = 30 未對資料進行加密保護 留言內容 2 1 1 3 3 24 (2+1+1) X (3+3) = 4 X 6 = 24 拒絕存取 新增留言 1 1 1 3 3 18 (1+1+1) X (3+3) = 3 X 6 = 18 未驗證資料完整性 留言內容 2 1 1 1 3 16 (2+1+1) X (1+3) = 4 X 4 = 16 使用過高系統權限 新增留言 1 2 2 1 2 15 (1+2+2) X (1+2) = 5 X 3 = 15 未記錄資料存取行為 留言資料表 1 1 1 1 3 12 (1+1+1) X (1+3) = 3 X 4 = 12

32. 風險值優先與控措措施 威脅項目 資產項目 風險值 控制措施 未對來源進行驗證 使用者 30 ▪ 採用帳號密碼登入認證

    ▪ 限制來源IP 未對資料進行加密保護 留言內容 24 ▪ 使用HTTPS協定 拒絕存取 新增留言功能 18 ▪ 使用分散式系統架構 未對資料進行完整性保護 留言內容 16 ▪ 使用HTTPS協定 使用過高系統權限 新增留言功能 15 ▪ 採一般使用者權限執行 未記錄資料存取行為 留言資料表 12 ▪ 記錄資料的存取行為

33. 花旗系統漏洞60萬額度爽刷6300 萬 2018/11/07 https://news.ltn.com.tw/news/focus/paper/1245068

34. 需求 設計 開發/測試 建置 維運 程式安全教育訓練 Secure Coding Security Requirements

    Code Review Dynamic Testing 安全威脅分析 程式碼安全檢查 主機弱點掃描 網站弱點掃瞄 滲透測試 Continuous Defense & Monitoring 網站防火牆 資安事件鑑識 Security Design Security Risk Analysis 安全需求分析 安全設計 ★ ★ ★ ★ ★ ★ ★

35. Defense In Depth

36. None
37. None

38. A1-Injection Security Misconfiguration Broken Authentication Cross-Site Scripting (XSS) Sensitive Data

    Exposure Insecure Deserialization XML External Entities (XXE) Using Components with Known Vulnerabilities Broken Access Control Insufficient Logging&Monitoring

39. OWASP Zed Attack Proxy (ZAP) www.owasp.org/index.php/Category:OWASP_WebScarab_Project

40. 需求 設計 開發/測試 建置 維運 程式安全教育訓練 Secure Coding Security Requirements

    Code Review Dynamic Testing 安全威脅分析 程式碼安全檢查 主機弱點掃描 網站弱點掃瞄 滲透測試 Continuous Defense & Monitoring 網站防火牆 資安事件鑑識 Security Design Security Risk Analysis 安全需求分析 安全設計 ★ ★ ★ ★ ★ ★ ★

41. 資安事件鑑識

42. 「火災來了，身為資安人員，你該怎麼辦？」 (A) 把握時間，衝進機房救硬碟 (B) 降低損失，協助消防人員滅火 (C) 快速逃命，協助清點資訊部門人數 (D) 關閉大門，不讓公司的營運機密外洩 (E)

    搶救資產，快速將資產文件運走

43. 救火第一

44. 那麼，出事了呢？

45. 保留現場

46. 備下環境

47. 給予對應的工具

48. Windows Resource Monitor

49. Autoruns 註冊異常

50. Process Explorer 異常程式

51. TcpLogView 異常連線

52. Wireshark 流量分析

53. NetLimiter Monitor 流量監控

54. CurrPorts 異常服務

55. SterJo NetStalker 程式防火牆

56. 產品相關檢測人員

57. 先懂邏輯再檢測

58. 網路設備管理人員

59. Defense In Depth

60. www.ithome.com.tw/news/123912

61. 資安相關技術講師

62. 十八般武藝

63. 漏洞獎金獵人

64. 駭客年會資安專家分享抓漏洞甘苦 news.ltn.com.tw/news/life/breakingnews/1772258

65. 對話台灣漏洞挖掘達人Orange Tsai www.pixpo.net/technology/0Ia8LXzy.html

66. CTF Time ctftime.org

67. Over The Wire http://overthewire.org/war games/natas/

68. LEVEL 0

69. LEVEL 0

70. LEVEL 0 → LEVEL 1

71. LEVEL 1 → LEVEL 2

72. LEVEL 2 → LEVEL 3

73. LEVEL 3 → LEVEL 4

74. LEVEL 4 → LEVEL 5

75. 惡意程式逆向分析

76. PokémonGo Hacking without Jailbreak aaaddress1@HITCON2016, LightningTalk - PokemonGo Hacking without

    Jailbreak

77. 破解彩蛋

78. 隔壁鄰居家場景

79. 線上分析

80. 靜態分析

81. 動態分析

82. 逆向工程核心原理

83. 惡意代碼分析實戰

84. 滲透測試攻防

85. None
86. None

87. 你想為一個駭客嗎？

88. None

89. 相關法規

90. 保密契約 (Non-Disclosure Agreement)

91. 攻擊步驟

92. 公開資訊情蒐

93. 機密性( Confidentiality ) 完整性 ( Integrity ) 可用性( Availability) 資安三要素

94. 情報蒐集(Reconnaissance) ✓目標狀態 • 是否在線上正常服務 目標狀 態 主機情 蒐 服務掃 瞄

    作業系 統 網路架 構

95. 情報蒐集(Reconnaissance)

96. ✓蒐集情報 • Netcraft： www.netcraft.com • Whois：whois.domaintools.com • Archive：web.archive.org 目標狀 態

    主機情 蒐 服務掃 瞄 作業系 統 網路架 構 情報蒐集(Reconnaissance)

97. web.archive.org

98. ✓蒐集情報 • Shodan： www.shodan.io • ZoomEye：www.zoomeye.org • Censys：censys.io 目標狀 態

    主機情 蒐 服務掃 瞄 作業系 統 網路架 構 情報蒐集(Reconnaissance)

99. www.shodan.io

100. www.shodan.io

101. 情報學校電腦被駭！印表機狂印恐嚇信

102. ✓Google Hacking • 網域 site: <com.tw> • 網址 inurl: <phpadmin>

     • 標題 intile: <index of> • 鍵結 inlink: <upload> • 檔案 filetype: <.bak .csv .git .svn .mdb> 目標狀 態 主機情 蒐 服務掃 瞄 作業系 統 網路架 構 情報蒐集(Reconnaissance)

103. Google Hacking Information • Index of

104. Google Hacking FileType • filetype:xls password

105. Google Hacking Default Page • inurl:phpmyadmin • "phpMyAdmin" "running on"

     inurl:"main.php"

106. ✓https://www.exploit-db.com/google-hacking- database/ Google Hacking Databases(GHDB)

107. Google Hacking Databases(GHDB) ✓http://www.hackersforcharity.org/ghdb/

108. 網站入侵流程

109. 掃瞄列舉(Scanning Enumeration) • Check for Live Systems • Check for

     Open Ports • Scanning Beyond IDS • Banner Grabbing • Scan for Vulnerability • Draw Network Diagrams • Prepare Proxies • Scanning Pen Testing

110. ✓作業系統、服務掃瞄 • Nmap ＊nmap -O <IP> 作業系統 ＊nmap -p <IP>

     Port 目標狀 態 主機情 蒐 服務掃 瞄 作業系 統 網路架 構 作業系統掃瞄(Scanning)

111. TCP Flag SYN (連線) ACK (同意) PSH (傳輸) RST (結束)

     FIN (完成) URG (重連)

112. TCP 三向交握 (Three-way Handshake) Client Server SYN SYN+ACK ACK

113. ✓服務掃瞄 • ICMP Scan (-sn) • TCP scan(-sT) ＊Stealth Scan、Inverse

     TCP Scan、IDLE… ＊FIN Scan、Xmas Scan、Null Scan… • UDP Scan (-sU) 目標狀 態 主機情 蒐 服務掃 瞄 作業系 統 網路架 構 服務掃瞄(Scanning)

114. ✓網路架構 • tracert • traceroute • tcptraceroute • paratrace 目標狀

     態 主機情 蒐 服務掃 瞄 作業系 統 網路架 構 網路架構(Scanning) ✓Zone Transfer Server • nslookup \ dig

115. SuperScan

116. Zero Day ✓ 利用 Web 應用程式的漏洞 ✓ 利用服務本身的弱點 Zero Day

     One Day N Day

117. 系統攻擊四大類 Operating System Attacks Misconfiguration Attacks Application Level Attacks Shrink

     Wrap Code Attacks

118. 弱點掃瞄(vulnerability assessment ) ✓服務弱點掃描工具 ＊Nessus ＊OpenVAS ＊Dragonsoft Vulnerability Scanner ✓人工驗證

     人工驗證 弱點 掃瞄 服務 掃瞄

119. ✓網頁弱點掃描工具 ＊HPE WebInspect ＊IBM AppScan ＊Acunetix Web Vulnerability Scanner ✓人工驗證

     弱點掃瞄(vulnerability assessment ) 人工驗證 弱點 掃瞄 服務 掃瞄

120. 漏洞資料庫(Exploit Database) ✓Rapid7：https://www.rapid7.com/db/search

121. 漏洞資料庫(Exploit Database) ✓CVE：https://www.cvedetails.com/

122. ZeroDay 買賣平台：zerodium zerodium.com/program.html

123. 駭入目標(System Hacking) 密碼破解 提升權限 執行權限 隱藏檔案 清除軌跡

124. 密碼破解(Cracking Passwords) 字典攻擊 暴力破解 規則破解

125. Passwords List github.com/danielmiessler/SecLists

126. hydra -L FilePath/User.txt -P FilePath/Pass.txt TargetIP Password Dictionary

127. Have I been Pwned

128. 權限提升(Privilege Escalation) 權限提升 權限 設定 系統 漏洞 脆弱 密碼

129. 權限提升(Privilege Escalation) ✓DLL Hijacking • Services ✓ Command Prompt •

     psexec -s -i cmd.exe ✓ Reset Password • net use • pspasswd • chntpw sam system

130. 入侵目標 ✓破解使用者密碼 ✓修改登入頁面取得密碼 ✓更改密碼或修補漏洞 ✓備份資料 ✓啟動竊聽 ✓繼續尋找並攻擊內部網路中其他主機 ………

131. 啟用竊聽：WireShark

132. 植入後門 ✓植入後門程式、惡意程式 ✓隱藏蹤跡及保留存取權限的工具 ✓修改log紀錄 ✓置換系統工具 之類的啦………

133. 隱藏踨跡 ✓Tor thehiddenwiki.org

134. 隱藏踨跡 ✓Lightbeam：www.mozilla.org/en-US/lightbeam/

135. 隱藏檔案 ✓Command Prompt • notepad ✓Command Prompt • notepad

136. 清除軌跡 ✓Command Prompt • eventvwr <手動刪除> ✓切換身份再手動刪除 • psexec -s

     -i cmd.exe • psexec -s -i eventvwr ✓CClear

137. 應用程式弱點

138. Cookie 詐騙 (Cookie Poisoning) Cookie 偷聽 (Cookie Snooping) 儲存不安全 (Insecure

     Storage) 資料外洩 (Information Leakage) 錯誤處理不當 (Improper Error Handling) 脆弱帳號管理 (Broken Account Management) 目錄遍歷 (Directory Traversal ) (SQL Injection) 服務阻絕 (Denial of Service) 緩衝區溢位 (Buffer Overflow) 竄改日誌 (Log tampering) 未驗證的輸入 (Unvalidated Input) 跨站腳本 Cross Site cripting (XSS) Injection Flaws Cross Site Request Forgery 脆弱存取 (Broken Access Control) 平台漏洞 (Platform Exploits) 不安全的直接引用 (Insecure Direct Object References) 傳輸層保護不足 (Insufficient Transport Layer Protection) Failure to Restrict URL Access Insecure Cryptographic Storage Obfuscation Application DMZ Protocol Attacks Security Management Exploits Authentication Hijacking Network Access Attacks Web Services Attacks 隱藏處理 (Hidden Manipulation) 未驗證的導向 (Unvalidated Redirects and Forwards) 會話固定攻擊(Session Fixation Attack)
139. None

140. Injection 01

141. SQL Injection SQL 語句中的「動態字串結合」的導致攻擊成功的主因。 SELECT * FROM Account WHERE username='admin'

     or 1='1' AND password='*' SELECT * FROM Account WHERE username= 'admin' AND password='password'

142. SQL Injection http://demo.testfire.net/login.jsp SELECT * FROM Account WHERE username=''or'1'='1' AND

     password='*'

143. 弱點機會 '

144. 資料庫存取程式改寫 傳統的寫法程式範例： Bad SQL Injection string userName = ctx.getAuthenticatedUserName(); string

     query = "SELECT * FROM items WHERE owner = "'" + userName + "' AND itemname = '" + ItemName.Text + "'"; sda = new SqlDataAdapter(query, conn); DataTable dt = new DataTable(); sda.Fill(dt); ...

145. 止血的根源 程式改成 Parameterized Queries 的寫法來存取資料庫 弱點原因來自於攻擊者可以操縱最後執行的SQL語法。 所以最佳的防治方法就是將SQL語句的邏輯與資料互相隔離。 所有 SQL語句都要改寫才有效 在程式開始設計時，教育訓練告知所有程式設計師。

146. 輸入資料過濾 • 白名單過濾：長度、英數、正規化 • 黑名單過濾：不建議，不正常的語法關鍵字，檢查不完 • /* • -- •

     or 1=1-- • or 2>1-- • ' or ''=' • and 1=1-- • and 1=2-- • ';declare @a int;-- • @@version>1 • order by 100 • ' union select col1,col2,… from table-- • ;exec master..xp_cmdshell 'net user Hacker Hacker /add';-- • ;exec master..xp_cmdshell 'echo WEBSHELL > path/a.asp'-- • ;exec master..xp_regread 'HKEY_CURRENT_USER,Software\ORL\WinVNC3',Password;--

147. 資料庫存取權限的限制 分離應用程式中各個功能模組存取DB 的權限，以免一個注入點就可取得所有資料 。 切分權限，關閉預設帳號，不用 sa 執行所有資料庫存取動作。 限制資料庫執行程式本身的權限 將一般用不到但功能強大的延伸程序刪除或限制其操作者身份。 MS-SQL：

     sp_addextendedproc、sp_addlogin、sp_password、sp_addsrvrolemember、 xp_cmdshell、xp_availablemedia、xp_dirtree、xp_servicecontrol、xp_subdirs ……等。

148. Sample Code .NET – C# ： string connString = WebConfigurationManager.ConnectionStrings["myConn"].ConnectionString;

     using (SqlConnection conn = new SqlConnection(connString)) { conn.Open(); SqlCommand cmd = new SqlCommand("SELECT Count(*) FROM Products WHERE ProdID=@pid", conn); SqlParameter prm = new SqlParameter("@pid", SqlDbType.VarChar, 50); prm.Value = Request.QueryString["pid"]; cmd.Parameters.Add(prm); int recCount = (int)cmd.ExecuteScalar(); }

149. Sample Code Java： String custname = request.getParameter("customerName"); // perform input

     validation to detect attacks String query = "SELECT account_balance FROM user_data WHERE user_name = ? "; PreparedStatement pstmt = connection.prepareStatement( query ); pstmt.setString( 1, custname); ResultSet results = pstmt.executeQuery( );

150. Batch Queries in MS-SQL 利用 ; 符號中止原查詢語句，串接其他指令。 Select / Insert

     / Delete / Update / Drop … 資料庫管理用的 Stored Procedure 指令 攻擊字串範例： id=1 ; drop table account;-- id=1 ; exec master..xp_cmdshell 'net user Hacker Hacker /add ‘;-- 攻擊權限沒成功，就代表需要驗證更進一步的存取權限

151. 進階預存程序名稱 功用 xp_cmdshell 能夠以 SQL Server 的系統帳號身分來執行任 何應用程式 。 xp_regXXXX

     存取作業系統的registry 資料。 xp_servicecontrol 停掉或啟動某個服務。 xp_terminate_process 停掉某個執行中的程序，但賦予的參數是 Process ID。 xp_dirtree 顯示某個目錄下的子目錄與檔案架構。 xp_oaXXXX 存取伺服器外部 OLE 物件 。 MS-SQL 還有很多可以用： Batch Queries in MS-SQL

152. 從錯誤訊息中取得弱點利用的機會

153. 盲測

154. Blind SQL Injection 原理就是利用等待時間。 如果條件成立，就等待5秒，否則不等待。 透過這樣的方式獲取資料庫更進一步的訊息。 ' and condition and

     '1'='1 '; if condition waitfor delay '0:0:5' — '; union select if( condition , benchmark (100000, sha1('test')), 'false' ),1,1,1,1;
155. None

156. 錯誤訊息客製頁面 .NET Web.Config： ON 顯示客製頁面 OFF 顯示錯誤訊息 RemoteOnly 僅向本機用戶顯示詳細錯誤 <configuration>

     <system.web> <customErrors defaultRedirect="YourErrorPage.aspx" mode="On"> <error statusCode="500" redirect="InternalErrorPage.aspx"/> </customErrors> </system.web> </configuration>

157. 錯誤訊息客製頁面 Apache Tomcat： $CATALINA_HOME/conf/web.xml <error-page> <error-code>404</error-code> <location>/error/404.html</location> </error-page>

158. SQL injection 自動測試工具 http://sqlmap.org/ http://www.hackerspedia.com/2014/12/download-havij-pro- 117-pro-free.html https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/ http://sqlninja.sourceforge.net/index.html http://sourceforge.net/projects/absinthe/

159. 給資料庫管理人員 1. 將資料庫獨立安裝，確保所有系統都在最新的版本 2. 將資料庫中所有的預設帳號關閉，包括超級使用者： 3. 在資料庫中新建應用程式的使用者帳號，這個帳號是限制最小權限， 只給允許存取必要的資料。移除所有範例資料表。禁止應用程式的使 用者任意存取不必要的預存程序： 4.

     SQL 查詢必需是透過應用程式且只能執行允許的查詢，如Select, Insert, Update 等… 5. 當情境是不需要 Insert 與 Updates 時，只能予唯讀(Read-Only)權限 如資料檢索或登入功能

160. 給開發人員 1. 在程式中對於輸入資訊進行消毒驗證 2. 使用參數化查詢而非動態組合查詢。 以 JAVA 來說通常會使用 Prepared Statement

     取代 Statement 3. 採用適合的錯誤處理、系統日誌方式，避免將資料庫錯誤、或 任何技術資訊透漏給使用者 4. 選擇不容易被猜到的資料表與欄位名稱 5. 盡可能使用預存程序取代原始 SQL

161. Broken Authentication 02

162. Cookie Control

163. Cookie Manager

164. Broken Authentication 不安全的驗證機制 應用程式中的身分驗證相關功能有缺陷 使用預設密碼 或 密碼太簡單 允許自動化的暴力破解或字典攻擊 透過隱藏欄位或 cookie

     越權存取 登出時沒有把 session cookie 清乾淨

165. 常見的存取控制 Cookie 如果發現 Cookie 中存在類似以下數值 • UID ：整數 • User

     ：字串 • Admin ：0 / 1 / Y / N 表單隱藏欄位 URL GET 改參數內容

166. 改 Cookie 直接登入 OverTheWire v4 > v5 ：http://overthewire.org/wargames/natas/

167. 隱藏欄位的隱藏風險

168. 修改參數重送

169. 防護建議 修改個人密碼 • 登入之後才能進行 • 再次登入驗證(Re-authentication) • 千萬別讓使用者有任何機會操縱要修改的帳號 • SSL

     加密傳輸 • 通知使用者 忘記密碼 • 不好的做法：我家寵物名稱？ 來福？來旺？小白？ • 發送驗證信時，唯一+時間限制+訪問一次性URL => 註冊信箱

170. 防護建議 安全的 Session Management • 最大原則：每次登入所使用的 session ID 都要夠亂且不同 傳輸保護

     • 如果使用cookie傳送 • 限制 cookie scope (domain & path) • 設定 httpOnly 無法在用戶端用javascript讀取。 • 設定 secure flag：Cookie只能透過https的方式傳輸。

171. Cookie 設定 • Cookie Interface • Response Header • web.xml

     • Tomcat context.xml https://www.ajoshow.com/2017/07/19/201707192223/

172. Cookie 設定 Cookie Interface Cookie cookie = getMyCookie("CookieName"); cookie.setHttpOnly(true); cookie.setSecure(true);

     resp.addCookie(cookie); https://www.ajoshow.com/2017/07/19/201707192223/ Response Header String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; httpOnly; secure");

173. 防護建議 in.NET Logout ( ) 清除所有存放於後端的 Session 資料 Session token

     失效 http://forums.asp.net/t/1755872.aspx?SessionID+not+getting+reset+after+Session+Abandon protected void LoginStatus1_LogOut(object sender, LoginCancelEventArgs e) { this.Session.Clear(); this.Session.Abandon(); FormsAuthentication.SignOut(); } Session.Abandon(); Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

174. 防護建議 in Java Logout ( ) Sample 1： 身份驗證時重置 session

     cookie Sample 2：嚴謹的檢查登入後的 session http://stackoverflow.com/questions/4836106/how-to-reset-jsessionid public static ... (HttpServletRequest request) { HttpSession session = request.getSession(false); if (session!=null && !session.isNew()) { session.invalidate(); public static HttpSession resetSessionId(HttpSession session, HttpServletRequest request) { session.invalidate(); session = request.getSession(true); return session; }

175. 防護建議 Limit session lifetime Coding: web.xml <!-- Session Configuration -->

     <session-config> <session-timeout>15</session-timeout> </session-config> // Inactivity timeout in seconds session.setMaxInactiveInterval(900); https://stackoverflow.com/questions/15382895/session-timeout-in-web-xml

176. Broken Authentication 建議 成功登入後更換Session ID，並在期限內失效 機敏參數不應放在URL、隱藏欄位或Cookie中 防止暴力破解或其他自動攻擊 系統不使用預設密碼，程式控管密碼強度，定期更新 有效的多因子驗證登入 不開啟自動記錄密碼功能

     <autocomplete="off">

177. Sensitive Data Exposure S 03

178. Sensitive Data Exposure 在網路上撿資料 應用程式無意中回應機敏資料 IP、第三方套件、身份證、電話、路徑、信用卡、密碼… 應用程式沒有對機敏資料加密保護 採用不安全的加密機制：SHA1、MD5、RC2… 金鑰儲存控管不佳

179. Reconnaissance 網域 site:com.tw 網址 inurl:phpMyAdmin 標題 intile:index of 鍵結 inlink:upload

     檔案 filetype: .bak .csv .git .svn .mdb

180. Google Hacking Database https://www.exploit-db.com/google-hacking-database

181. 帶有技術細節的網頁原始碼

182. 防護建議 避免將機敏資料放置於公開的網站中 網站正式上線時，應移除非必要註解、備份、暫存 機敏資訊傳輸時應加密

183. 機敏資料傳輸時需加密 使用 SSL/TLS 保護所有傳輸機敏資料的網頁 • 身份認證資料 • Password、Session ID •

     個人資料、交易資料、信用卡資料 關閉非 SSL/TLS 的存取管道

184. 不安全的傳輸

185. Tomcat 設定 $CATALINA_BASE/conf/server.xml 設定： <!-- Define a SSL Coyote HTTP/1.1

     Connector on port 8443 --> <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="${user.home}/.keystore" keystorePass="changeit" clientAuth="false" sslProtocol="TLS"/> http://wiki.jikexueyuan.com/project/tomcat/ssl-tls.html

186. Apache修補方式 httpd.conf 設定 SSLProtocol 以黑名單關閉 SSL： SSLProtocol all -SSLv2 -SSLv3

     http://www.techoism.com/enable-tls-version-mod_ssl-apache-webserver/

187. IIS 關閉不安全的設定 以修改機碼的方式，關閉SSL： 執行機碼設定(regedit.exe) 找到路徑 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Cont rol\SecurityProviders\SCHANNEL\Protocols\SSL2.0] 在SSL2.0資料夾上按右鍵→新增→機碼，然後輸入「Server」 接著在剛剛建立Server的資料夾下按右鍵→新增→DWORD(32 位元)值，然後輸入「Enabled」

     確認資料欄位值是否為「0x00000000 (0)」或手動將值改為 0

188. 密碼不要明文儲存 Password : 12345678 Algorithm Value Base64 MTIzNDU2Nzg= DES (13

     chars) aaNN3X.PL2piw MD5 (32 chars) 25d55ad283aa400af464c76d713c07ad SHA1 (40 chars) 7c222fb2927d828af22f592134e8932480637c0d Salted MD5 $1$tsLFcOYh$5ibC1Ui2OPwUvyGUttUFI1 LanMan 0182BD0BD4444BF836077A718CCDF409 NTLM 259745CB123A52AA2E693AAACCA2DB52 Encoding ? Hash? Encryption?

189. 觀念說明 Encoding (編碼) : Base64 、HTML Encoding Hash (雜湊函數) :

     MD5、SHA1 Encrypt (加密) : AES 資料 編碼值 資料 編碼值 f(data) 資料 編碼值 f(data) f(data) http://www.rsa.com/rsalabs/node.asp?id=2176

190. Password Crackers John the Ripper http://www.openwall.com/john/ DES/MD5/Salted MD5/LM John The

     Ripper MPI Patch http://bindshell.net/tools/johntheripper DES/MD5/Salted MD5/LM/NTLM/… Cain & Abel http://www.oxid.it/ LM/NTLM/MD5/SHA1/… RainbowCrack http://www.antsight.com/zsl/rainbowcrack/ MD5/SHA1/LM/NTLM/…

191. 密碼防護建議 核心期望：拿不到、解不開 機敏資料不要回傳到前端 傳輸或儲存時透過Hash或是加密保護。 使用通過國際標準的演算法 & 較長的 Key Size Hash

     不要再用 : LM、MD5、SHA1 在每個產生的 hash 值再加入亂數字串(salt) 例 : Hash("secret", "1lkjdo3opf"), Hash("secret", “mkdi2kan7") Cipher 不要再用: DES、3DES，請使用 : AES(AES-128, AES-192 and AES-256)

192. Java Secure Hashing https://howtodoinjava.com/security/how-to-generate-secure-password-hash-md5-sha-pbkdf2-bcrypt-examples/ private static byte[] getSalt() throws NoSuchAlgorithmException

     { //Always use a SecureRandom generator SecureRandom sr = SecureRandom.getInstance("SHA1PRNG"); //Create array for salt byte[] salt = new byte[16]; //Get a random salt sr.nextBytes(salt); //return salt return salt; }

193. 防護建議 For encryption keys 別在程式裡寫入加密金鑰或資料庫的存取資訊 For configuration store 內容加密 .NET

     : Aspnet_setreg.exe https://support.microsoft.com/en-us/help/329290/how-to-use-the-asp.net-utility-to-encrypt-credentials-and-session-stat

194. XML External Entities 04

195. XML External Entities XML 外部實體攻擊 此漏洞發生在應用程式解析 XML 輸入時，沒有禁止外部實體 的載入。 主要是針對使用XML互動的Web應用程式的攻擊方法。

     https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

196. XML Basic https://www.cnblogs.com/r00tuser/p/7255939.html ＊DTD 外部宣告 ＊DTD 內部宣告 <?xml version="1.0"?> <!DOCTYPE

     note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT body (#PCDATA)> ]> <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note> <?xml version="1.0"?> <!DOCTYPE note SYSTEM "note.dtd" <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note> <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT body (#PCDATA)>

197. XML Basic DTD 的實體(ENTITY)又分內部參考與外部參考 內部實體宣告 外部實體宣告 <?xml version="1.0"?> <!DOCTYPE test

     [ <!ENTITY writer "Bill Gates"> <!ENTITY copyright "Copyright W3School.com"> ]> <test>&writer;&copyright;</test> <?xml version="1.0"?> <!DOCTYPE test [ <!ENTITY writer SYSTEM "http://www.w3school.com/dtd/entities.dtd"> <!ENTITY copyright SYSTEM "http://www.w3school.com/dtd/entities.dtd"> ]> <author>&writer;&copyright;</author>

198. XML External Entities • 攻擊者嘗試獲取密碼 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo

     [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM ""file:///etc/passwd" >]> <xml> <stuff>This is my Stuff</stuff> </xml>

199. XML External Entities • 傳送外部請求 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo

     [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "http://127.0.0.1:8888/test.txt" >]> <xml> <stuff>This is my Stuff</stuff> </xml> 開 Port 8888，啟動 python SimpleHTTPServer ，可以遠端傳送 http 請求

200. XML External Entities 防禦方式 ·在應用程式中禁止引用 XML 外部資源。 ·即時更新 SOAP 版本

     <1.2 à Vulnerable ·程式中增加白名單驗證，防止惡意資訊 ·改用簡單的資料格式(JSON)

201. 防護建議 • Disable DTD 禁用外部實體的方法 • 如果不能完全關閉參照外部 DTD，過濾 XML 處理：

     External DOCTYPE External ENTITY • 限縮程式執行權限

202. 防護建議 PHP： libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false); .NET： XmlTextReader

     reader = new XmlTextReader(stream); reader.ProhibitDtd = true; //NEEDED because the default is FALSE!! Python： from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

203. Broken Access Control 05

204. A5：Broken Access Control 無效的存取控管，沒控管存取權限，角色檢查不完善 檢查存取資源是否被授權 攻擊者可以利用這些缺陷訪問未經授權的功能或數據， 例如：訪問其他用戶的帳戶、查看敏感文件、修改其他 用戶的數據、更改訪問權限等。

205. Broken Access Control 攻擊者只需修改瀏覽器中的URL 參數，即可發送他們想 要的任何資訊，如果沒有正確驗證，攻擊者可以訪問任 何用戶的帳戶。 http://URL/Account?Role={OtherUserID}

206. Access Control：WordPress http://URL/author/admin/ http://URL?author=<Number>

207. Broken Access Control 除了公開資訊，其他檔案應限制存取 確實設定後台或內部功能頁面進行存取控制的要求 停用伺服器目錄列表

208. 白名單過濾 限定檔案名稱及副檔名只限定出現數字及大小寫字母 [0-9],[a-zA-Z] 使用Hard Code 副檔名，限制能下載的檔案類型 <?php Include($_GET['file'].'.jpg');

209. 白名單存取副檔名 Spring 套件中設定 Web.xml ： .NET web.config 設定： <servlet> <servlet-mapping>

     <servlet-name>defaultr</servlet-name> <url-pattern>*.jpg</url-pattern> </servlet-mapping> <!-- Unblock all sourcecode related extensions and files/folders --> <fileExtensions allowUnlisted="false" applyToWebDAV="true"> <add fileExtension=".jpg" allowed="true" /> <add fileExtension=".js" allowed="true" /> <add fileExtension=".css" allowed="true" /> <add fileExtension=".png" allowed="true" /> </fileExtensions>

210. Security Misconfiguration 06

211. Security Misconfiguration • 不安全的組態設定 • 未經授權的訪問內容 • 使用預設設定、頁面、帳密 • 未使用的功能頁面

     • 目錄列表未關閉 • Debug 關掉

212. Security Misconfiguration 構建最精簡平台，不安裝沒必要的功能 移除不再使用的項目、備份、日誌、暫存檔案 不使用簡單易懂的命名規則 Test/phpMyAdmin/admin/ 設定符合帳號密碼的複雜規則

213. Cross-Site Scripting 07

214. A7：Cross-Site Scripting 跨站腳本攻擊 當應用程式中包含不受信任、未經驗證或轉址的來源資料時，利用 HTML或JavaScript 的瀏覽器API 取得XSS弱點 攻擊者能夠在受害者的瀏覽器中執行腳本，並劫持用戶會話、破壞網 站、發起中間人攻擊或竊取機敏資訊或轉址至惡意網站 https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

215. Cross-Site Scripting(XSS) Reflected XSS Stored XSS DOM-Based XSS

216. Cross-Site Scripting(XSS) 設定屬性 Set-Cookie: HttpOnly 不信任使用者輸入內容，嚴密限制輸入來源 嚴格定義字串內容及長度：白名單 > 黑名單 輸出頁面做

     Encoding 檢查 PHP 使用 htmlentities 過濾字串 .NET 使用 Microsoft Anti-XSS Library

217. Cross-Site Scripting(XSS) HttpOnly Flag Cookie只限被伺服器端存取，無法在用戶端讀取。 Cookie Interface Cookie cookie =

     getMyCookie("myCookieName"); cookie.setHttpOnly(true); cookie.setSecure(true); resp.addCookie(cookie); Response header String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; httpOnly; secure");

218. Cross-Site Scripting(XSS) web.xml <session-config> <cookie-config> <http-only>true</http-only> <secure>true</secure> </cookie-config> </session-config> Tomcat

     context.xml <Context useHttpOnly="true"> ... </Context>

219. 修改建議 in VB.NET VB.NET範例： Dim sb As StringBuilder = New

     StringBuilder( _ HttpUtility.HtmlEncode(input)) sb.Replace("&lt;b&gt;", "<b>") sb.Replace("&lt;/b&gt;", "<b>") sb.Replace("&lt;i&gt;", "<i>") sb.Replace("&lt;/i&gt;", "</i>") Response.Write(sb.ToString())

220. 修改建議 in C# C# 範例： StringBuilder sb = new StringBuilder(

     HttpUtility.HtmlEncode(input)); sb.Replace("&lt;b&gt;", "<b>"); sb.Replace("&lt;/b&gt;", "<b>"); sb.Replace("&lt;i&gt;", "<i>"); sb.Replace("&lt;/i&gt;", "</i>"); Response.Write(sb.ToString());

221. Insecure Deserialization 08

222. 甲骨文計畫放棄Java物件序列化 2018-05-29 https://www.ithome.com.tw/news/123511

223. Insecure Deserialization 不安全的反序列化 導致遠程代碼(remote code execution) 執行。 攻擊者利用它們來執行重播攻擊、注入攻擊和特權升級 。 https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

     參數控制 反序列化 自動利用 敏感參數

224. Insecure Deserialization 修改cookie提權內容： :4:{i:0;i:132;i:1;s:7:"Mallory";i:2;s:4:"user";i:3;s:32:"b6a 8b3bea87fe0e05022f8f3c88bc960";} 攻擊者更改序列化對象以增加admin權限： a:4:{i:0;i:1;i:1;s:5:"Alice";i:2;s:5:"admin";i:3;s:32:"b6a8b 3bea87fe0e05022f8f3c88bc960";}

225. Insecure Deserialization 不接受不可信任的來源的序列化對象 執行完整性檢查，以防止竄改 嚴格定義字串內容及長度：白名單>黑名單 監控反序列化，再次驗證，當執行異常時應顯示告警

226. Using Components with Known Vulnerabilities 09

227. A9：Using Components with Known Vulnerabilities 使用已知漏洞的套件 (框架、套件、函式庫) 未使用最新版本 或是 未解決已知弱點問題

     使用含有已知漏洞的套件的應用程式或API可能會破壞應用程 式防禦、造成各種攻擊並產生嚴重影響 https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

228. Struts 1 End Of Life

229. CVE-2017-5638：Apache Struts 2 漏洞可能讓駭客從遠端執行程式

230. jQuery-File-Upload <= 9.x 遠程命令執行漏洞利用 jQuery-File-Upload是Github上繼jQuery之後最受關注的jQuery項 目，該項目最近被披露出一個存在了長達三年之久的任意文件上 傳漏洞，該漏洞在隨後發布的v9.22.2版本中被修復，但是在 VulnSpy團隊對代碼的複查中發現了另外一個嚴重的命令執行漏洞 ，該漏洞允許攻擊者通過上傳惡意的圖片文件來執行任意系統命 令。

     http://www.vulnspy.com/cn-jquery-file-upload-below-v9.x-rce/

231. CVE-2014-0166 WordPress 偽造 Cookie 弱點 CVE-2014-0166 是 WordPress 上面驗證登入 cookie

     的 弱點，攻擊者可以暴力偽造出合法 cookie，藉此獲得 WordPress 最高權限，進而拿到 shell 取得系統操作權。 https://devco.re/blog/2014/04/16/cve-2014-0166-wordpress-forged-cookie-vulnerabilities/ 預設的 cookie_name 如下 define('LOGGED_IN_COOKIE', 'wordpress_logged_in_' . COOKIEHASH); COOKIEHASH 的值是這個網站 url 做 MD5 後的結果 define( 'COOKIEHASH', md5( $siteurl ) ); 如果 wordpress 首頁是 http://domain.my/wordpress 它的 COOKIEHASH 就是 "http://domain.my/wordpress".md5 => "de5be3cf9fcea023a1303527e10ea67a"

232. WPSCANS WPSCANS 是一套非常知名的 WordPress 漏洞掃描工具，可以去抓出你的網站目 前所使用的佈景主題或外掛是否包含有漏洞的程式碼或是第三方套件，同時也會建 議你應該將程式更新到安全的版本，來避免讓駭客有機會利用漏洞來進行網站入侵 。 https://wpscans.com/

233. WordPress 4.7.1修復八大漏洞 1.PHPMailer中存在的遠程代碼執行漏洞 2.REST API會向已被授權訪問文章的所有用戶暴露資料。 3.update-code.php 檔案中標頭引起的跨站腳本攻擊漏洞。 4、通過上傳Flash文件引起的跨站點請求偽造攻擊。 5、因主題名稱回滾引起的跨站攻擊。 6、通過郵件發表文章時，預設設定沒有修改的認證。

     7、在可訪問模式下編輯工具時存在跨站點請求偽造攻擊。 8、多站點啟動密鑰的弱加密安全。 https://kknews.cc/tech/2ag63vg.html

234. All Your Nodes Are Belong To Us https://www.bishijie.com/shendu_2085 The Story

     of an EOS Chain Remote Code Execution Bug

235. All Your Nodes Are Belong To Us Reviewing EOS source

     code on Github http://blogs.360.cn/post/eos-node-remote-code-execution-vulnerability.html The Story of an EOS Chain Remote Code Execution Bug 全球最大男性交友網站

236. All Your Nodes Are Belong To Us The Bug in

     Web Assembly Sample Code ： libraries/chain/webassembly/binaryen.cpp (Line 78) Function binaryen_runtime::instantiate_module The Story of an EOS Chain Remote Code Execution Bug Out-of-Bounds Write Here • Useless checking here: assert doesn't work in release build • Copy-pasted code from WebAssembly project wasm-js.cpp • No code review & misunderstanding the scope of asser

237. All Your Nodes Are Belong To Us The Bug in

     Web Assembly Sample Code ： libraries/chain/webassembly/binaryen.cpp (Line 78) Function binaryen_runtime::instantiate_module The Story of an EOS Chain Remote Code Execution Bug Out-of-Bounds Write Here • Useless checking here: assert doesn't work in release build • Copy-pasted code from WebAssembly project wasm-js.cpp • No code review & misunderstanding the scope of asser

238. The Bug The table is a vector from std::vector and

     resized before written The valid value of the module->table.initial is 0~1024 The offset is a signed int32 read from WASM file By manipulate the fields of WASM file, we could overwrite memory behind the table vector

239. Bug Reporting We directly contacted Daniel Larimer on Telegram and

     sent the bug report to him

240. Bug Fixing The Final Fixed Version Force converted the “offset”

     to unsigned int64 to avoid overflow

241. The Bug is Fixed, But…

242. The Truth is… They lost “significant” money because the factor

     that EOS is buggy was leaked 740M USD(22B TWD) of market cap. of EOS vanished, 2 hours after our report

243. 弱點建議 儘可能不要用不安全的套件 定期檢新版本的框架、函式庫、元件 檢視所使用的框架\函式庫\元件\工具是否在CVE 上有嚴重已知弱點 即使程式並未做修改，仍然需要定期將相關套件 升級至最新版，減少弱點可攻擊的時間落差

244. 漏洞資料庫(Exploit Database) Rapid7：https://www.rapid7.com/db/search

245. 漏洞資料庫(Exploit Database) CVE：https://www.cvedetails.com/

246. Insufficient Logging&Monitoring 10

247. A10：Insufficient Logging & Monitoring 不足的日誌記錄和監控 事件回報缺失或無效的內容 攻擊者能夠進一步攻擊系統或轉向更多系統， 以及篡改、存取或銷毀資訊。 記錄登入失敗的存取控制，並適時發出告警 日誌檔中不能記錄完整機敏資訊

     https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

248. 上傳日誌是否驗證內容

249. 例外處理(Exception Handler) https://en.wikipedia.org/wiki/Exception_handling

250. 社交工程

251. Shoulder Surfing

252. Dumpster Diving

253. Tailgating

254. DDOS

255. 嫌肯德基不乾淨 掏65萬現金買雞桶癱瘓店家 tw.appledaily.com/new/realtime/20120905/140982/

256. 1人霸1桌 70人癱瘓餐廳討債 tw.appledaily.com/headline/daily/20091207/32143663/

257. 客人一句：不要了麥當勞丟61份餐 tw.appledaily.com/new/realtime/20170210/1053584/

258. hping3 hping3 –S Target –a FakeIP –p 22 --flood

259. Ping flood Ping of Death Ping Sweep Syn flood Smurf

     Land-based Teardrop

260. 無線網路

261. Buletooth Hacking • Bluejacking • Bluesnarfing • Bluebugging

262. WEP & WPA & WPA2 WEP •RC4 •IV 24 bit

     +40/104 bit WPA •RC4,TKIP •IV 48 bit + 128 bit WPA2 •AES-CCMP •IV 48 bit + 128 bit

263. Evil Twin

264. WiFi Sniffing

265. MITM

266. APP

267. APK Downloader apps.evozi.com/apk-downloader/

268. 網路設備

269. IDS & IPS

270. HIDS

271. NIDS

272. HIDS & NIDS

273. 加密防禦機制

274. Heartbleed

275. Symmetric vs Asymmetric

276. None

277. 自訂憑證

278. 硬碟加密： Advanced Encryption Package

279. 硬碟加密：VeraCrypt

280. 謝謝大家：)