學術網站弱點檢測 演講者:魏宏吉 2012/05/25.

Slides:



Advertisements
Similar presentations
痞 满 河南中医学院第一临床医学院 中医内科 郭淑云. 痞满是指以自觉心下痞塞,胸膈张满,触 之无形,按之柔软,压之无痛为主要症状的 病证。按部位痞满可分为胸痞、心下痞等。 【概念】
Advertisements

消化系统与健康饮食 井路路. 消化系统的结构和功能 第一篇 消化吸收 空肠、回肠 上消化道 下消化道 消化道.
醫學美學之我見ー肉毒桿菌 班級:應日三乙 姓名:蔡雅卉 學號: 497E0076. 前言 現在的人,已經把 整型看做是微不足 道的事情了。即使 只是戴牙套、局部 雷射、割雙眼皮、 打美白針、肉毒桿 菌等等,都可以在 身體上做不同的改 變,而讓自己更滿 意自己的外表。
行政事业单位资产管理信息系统培训 讲师:姚珂 行政事业单位资产管理信息系统培训. 2 系统总体功能介绍 1 软件安装与数据初始 软件安装与数据初始 2 软件日常操作介绍 软件日常操作介绍 4 用户管理及账套维护 用户管理及账套维护 5 目 录目 录目 录目 录 参数配置与数据上报.
104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.
武汉库得克 软件有限公司 公司简介 发展机遇 特点 一家专注于质量管理平台和整体 解决方案的提供商
第14章 表单 在制作动态网页时,要实现信息交互,常常用到表单。 常见的表单有搜索表单、用户登录注册表单、调查表 单、留言簿表单等。本章节将和大家一起探讨在表单 的基本概念和各个元素,以及在Dreamweaver CS4中 如何创建表单,并通过实例掌握表单制作的方法。
Database Management System 資料庫管理系統
21世纪全国高职高专 计算机系列实用规划教材 计算机网络技术基础 主 编: 杨瑞良 李 平 副主编: 邱 涛 李明龙.
本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供
北京中医药大学东直门医院 把握“癌”的命脉 祁烁 血液肿瘤科.
讲故事训练 授课人:田轶.
第十一課 菜園 6-11.
Reaction Injection Molding
校本选修课 第三专题 西藏问题 北京师大二附中 李文燕.
資料庫系統 曾俊雄.
Web程序设计基础 太原理工大学 计算机科学与技术学院 林福平 求实创新
辦理實習工場安全衛生業務經驗分享 新竹高工實習輔導主任  黃俊燁.
資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問
正修科技大學教學發展中心 教師教學觀摩與經驗分享 電子工程系 張法憲副教授.
俄语字母的发音体系 阅读规则.
----银行间的比较 论资本构成与充足率 淡 彩 的 黑 板 淡 彩 的 黑 板 金融73班 王艺霏 王 英
转正述职报告 乐恩公司 史航
蘇軾詞的賞析
第九章 正当行为 正当行为,是指客观上造成一定损害结果,形式上符合某些犯罪的客观要件,但实质上既不具备社会危害性,也不具备刑事违法性的行为。
柯奕宏(06) 王予亨(13) 郭秉逸(15) 楊雯凈(23) 顏佑瑩(32)
5.1 – 表格(FORM) 輸入元素 : 兩種傳遞方法 : GET or POST 範例 1. 文字欄位 Text box
第十五章 传播学调查研究方法.
AWS雲端企業 馮治平 2016/10.
Penetration Testing Chen Liguo.
自然與生活科技領域 認識太陽能 蘇紋琪、石明玉.
 全能的天才畫家- 李奧納多‧達文西 (西元1452年-1519年) 指導老師:袁淑芬老師 製作人:饒佩芯.
電腦攻擊與防禦 The Attack and Defense of Computers
網路安全技術期末報告 Proxy Server
XSS & SQL Injection理論 2014/7/29 許子謙.
課程名稱:資料庫系統 授課老師:李春雄 博士
組員:陳俊宇 陳典杰 趙俊閔 指導老師:張慶寶
第一章 Visual Studio、SQL Server介紹與開發環境
中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.
数据保护技术(完整性、并发性、安全性和数据库恢复)
Ajax網頁的危機與防禦術 王寧疆 MCAD.NET/MCSD.NET/MCT/MVP 資策會教育訓練處.
賣場與網站設計 EC-IC 2010最佳賣場設計奬第一名觀摩 EC-IC 2010最佳賣場設計奬第三名觀摩 其他組別觀摩
K/3 Cloud V6.0_产品培训 —BOS万能报表平台
网 站 设 计 与 建 设 Website design and developments
專題J組 題目: 檢定考試管理系統 指導老師: 曾修宜 老師 組員: 曾聖棋 謝宗翰
認識我的故鄉_台中市.
資料中心的安全威脅與進階防護 A10 Networks Taiwan System Engineer Jack Chien
数据库技术与应用 (开学篇) 同济大学.
Windows服务器操作系统:2003 市场占有率仍稳居第一
第十三讲 使用数据库(一) 上海财经大学信息管理与工程学院.
Excel - 九十七年度教職員工資訊教育訓練 董建弘.
認識資料庫 MySQL 資料庫新增 MySQL 資料表新增 認識欄位資料表 資料新增、刪除、修改、瀏灠 資料表清空與刪除
認識資料庫 MySQL 資料庫新增 MySQL 資料表新增 認識欄位資料表 資料新增、刪除、修改、瀏灠 資料表清空與刪除
第1章 SQL Server 2005概述 教学提示:SQL Server 2005是微软的下一代数据管理和分析解决方案,它给企业级应用数据和分析程序带来更好的安全性、稳定性和可靠性,使得它们更易于创建、部署和管理,从而可以在很大程度上帮助企业根据数据做出更快、更好的决策,提高开发团队的生产力和灵活度,以及在减少总体IT预算的同时,能够扩展IT基础架构以更好地满足多种需求。
精忠报国  演唱:屠洪纲 作词:陈涛 作曲:张宏光  狼烟起 江山北望  龙起卷 马长嘶 剑气如霜  心似黄河水茫茫  二十年 纵横间 谁能相抗  恨欲狂 长刀所向  多少手足忠魂埋骨它乡  何惜百死报家国  忍叹惜 更无语 血泪满眶  马蹄南去 人北望  人北望 草青黄 尘飞扬  我愿守土复开疆  堂堂中国要让四方来贺.
台中監獄能源管制機制 大網 本監能源管制現有機制 本監各項能源管制硬體設施簡介 本監鍋爐用油紀錄及契約用電分析 節約能源未來擬施作措施 結束.
1 打开 SQL Server 2005 安装盘,单击 SPLASH.HTA 文件进行安装,安装界面如图所示。
14.1 網頁發表與寄存 使用檔案傳輸協定程序發表網頁 微調 HTML 的網頁.
第三章 安裝 SQL Server 資料庫環境.
樂樂請假了 尊重的故事 資料來源:臺北縣國民小學品德教育手冊 故事來源:臺北縣國民小學品德教育手冊 網路小故事
Ecological Engineering Methods Resource Website
聽聽那冷雨---重點摘要 二愛 王煜榕.
網路科技在商店經營管理之應用 第一章 osCommerce系統需求 Ting-Yi Chang (張庭毅)
課程名稱:資料庫系統 授課老師:李春雄 博士
憲政與民主 應化3A 邱泓明.
项目一 了解网站的概念 项目二 创建个人网站“鸿渐工作室” 项目三 制作“鸿渐工作室”的主页 项目四 HTML语言 项目五 制作“家乡特产”网页 项目六 制作“给我留言”网页 项目七 制作“应用技巧”网页 项目八 模板制作及应用.
古蹟知性之旅 我和新港奉天宮有個約 報告人:陳 映 竹 傅 湘 甯.
97學年度專題成果展 畢業生職業性向測驗系統之建立
第1章 WWW和LAMP基本觀念.
12.1 網頁的工作間 12.2 固定頁寬與可變頁寬 12.3 草擬和設計網頁 12.4 導覽列與框架 12.5 使用框架
Presentation transcript:

學術網站弱點檢測 演講者:魏宏吉 2012/05/25

大綱 1.前言 2.相關工具 3.系統架構與方法 4.測試結果與分析 5.結論

1.前言(5/1) 由於網際網路的普及,網頁應用程式提供的 服務也越來越多元化。 舉凡購物、轉帳、購買車票、訂購食品等服 務,皆能透過網頁應用程式來達成其需求。 因為這樣的便利性,而造成資訊外洩的事件 日益增加。

1.前言(5/2) 許多網站為了與使用者有良好的互動,所以 都會要求使用者註冊自己的會員帳號,以便 網站可以透過會員帳號內的個人隱私資料與 使用者保持良好的聯繫。 由於這些使用者的個人隱私資料往往儲存於 網站的後台資料庫,卻沒有受到適當的保護 所以容易遭受到駭客的攻擊,而造成使用者 隱私資料外洩。

1.前言(5/3) 根據QWASP組織在2010年所公佈的網站十大 風險排名顯示,SQL Injection與XSS這兩類攻 擊已經列居為前兩大風險。

1.前言(5/4) SQL Injection攻擊針對的對象是資料庫,攻 擊者透過SQL查詢語句的特性,將攻擊指令 注入至正常的SQL查詢語句中,使得正常的 SQL查詢語句變成不正常的攻擊指令。 XSS攻擊針對的對象是前端的使用者,攻擊 者將XXS攻擊指令先注入至後端資料庫中, 當網頁瀏覽者瀏覽到該網頁時,則會自動執 行先前已注入的攻擊指令。

1.前言(5/5) 由於SQL Injection與XSS這兩種攻擊的普及性 日益增高,本研究為了學術網站的安全性考 量,所以提出一個專門檢測以上兩種弱點的 檢測工具(Tools for Detecting Academic Website Weakness, TFDAWW),供學術網站 管理者來使用。 學術網站管理者可以透過此工具來檢測自己 的網站,並藉由工具所產生的檢測報表,來 改善自己網站的弱點。

2.相關工具(2/1) 現今已有許多工具可以用來檢測網站是否存 在SQL Injection或XSS的弱點。 Scrawlr – HP Paros – Proxy Base Nessus – Client-Server Burp Suite – Proxy Base

2.相關工具(2/2) 下表為上列四個弱點檢測工具與我們所提出 的TFDAWW比較的比較表,我們將對每個弱 點掃描工具的功能性做分析,以區別其差異 性。

3.系統架構與方法 下圖為TFDAWW的架構圖,其包含三個主要 的模組,Crawler模組、XSS檢測模組與SQL Injection檢測模組。

3.1 Crawler模組 Crawler模組為一個階層式的網頁連結分析模 組,該模組會一層一層的分析受測端網頁內 所有連結的HTML標籤,並根據標籤內容,找 出所有可用的連結。

3.2 XSS檢測模組(4/1) XSS注入方式分為GET注入與POST注入兩種。 GET注入方式為,將檢測指令透過URL內的變 數注入至受測網站中。 POST注入方式為,將檢測指令透過網頁所提 供的表單,注入至受測網站中。 當檢測指令注入後,程式會依據弱點所產生的 特性,來判斷是否有注入成功。

3.2 XSS檢測模組(4/2) 下圖為XSS檢測模組的檢測畫面。

3.2 XSS檢測模組(4/3) XSS注入測試完成後,會產生一份弱點檢測 報表,供使用者查閱,其報表如下圖所示。

3.2 XSS檢測模組(4/4) 下圖為XSS檢測模組的完整流程圖。

3.3 SQL Injection檢測模組(4/1) SQL Injection檢測模組與XSS檢測模組兩者的 功能,除了指令注入的方式不同外,並沒有 太大的差異,兩者皆會將Crawler模組所抓取 到的連結做分析,且判斷該連結的類型與表 單遞送的方式,並將檢測指令注入至受測端 的頁面中。 指令注入後,SQL Injection檢測模組會根據 SQL Injection弱點所產生的特性,來判斷受 測的頁面是否有SQL Injection的弱點存在。

3.3 SQL Injection檢測模組(4/2) 下圖為SQL Injection檢測模組的檢測畫面。

3.3 SQL Injection檢測模組(4/3) SQL Injection檢測模組檢測後,會產生一個 紀錄檔,以供使用者查閱,如下圖所示。

3.3 SQL Injection檢測模組(4/4) 下圖為SQL Injection檢測模組的完整流程圖。

3.4 規則資料庫 本工具所採用的規則資料庫為MYSQL。 資料庫內的檢測指令主要分成SQL Injection 注入指令與XSS注入指令兩種。 檢測指令來源為 unixwiz.net,SQL Injection Attack defense(書) ,網站入侵與腳本攻防修 煉(書)中來取得,並將指令做了適當的編碼 後,才存入資料庫中。

4.測試結果與分析(3/1) 本研究為了分析TFDAWW的檢測準確性,所 以我們架設了一個具有SQL Injection與Cross Site Scripting(XSS)弱點的測試平台,其網頁 內容如下圖所示。

4.測試結果與分析(3/2) 弱點測試平台內含有SQL Injection與XSS弱點各 十個,我們將透過本論文中所提出的TFDAWW 來對弱點測試平台做檢測,並透過檢測完成後 所產生的記錄檔,來分析TFDAWW的檢測準確 度,其準確度分析表如下表所示。

4.測試結果與分析(3/3) 由上表的內容可知,本論文裡所提出的 TFDAWW對於檢測SQL Injection與XSS弱點的 檢測正確率皆達到80%以上,由此測試結果可 知,TFDAWW能夠找出大部份的SQL Injection 與XSS弱點,因此學術網站管理者可以透過本 論文所提出的TFDAWW,來精確地檢測自己的 網站。

5.結論(2/1) 我們提出一個SQL Injection與XSS的弱點檢測工具 透過我們的TFDAWW,網站管理者可以很容易的 找出自己網站內的SQL Injection與XSS的弱點,並 透過TFDAWW所產生的檢測報表,來改善自己網 站的弱點。 在未來發展上,我們希望能夠將TFDAWW做的更 完整,未來我們將會把TFDAWW與會員管理系統 做結合,使用者可以透過會員註冊的方式來使用 此系統,每個使用者皆會有一組自己的帳號,當 使用者使用自己帳號來掃描網站後,系統會將使 用者掃描過的網站記錄下來,以供使用者查詢。

5.結論(2/2) 除了與會員管理系統整合之外,我們還會加入 更多的弱點檢測模組,例如檔案上傳檢測模 組..等等,讓我們的TFDAWW能夠更強大且 更多元化。 除了增加額外的模組外,未來我們也會針對爬 蟲效率方面來探討,讓使用者可以更快速的檢 測自己的學術網站。

謝謝各位的聆聽