OWASP心得 許家瑞
大網 簡介 十大Web資安漏洞列表 網站掛馬 修改密碼無效 結論 參考
簡介 OWASP(Open Web Application Security Project,開放web軟安全計畫)是一個開放社群、非營利性組織。 研議助解決Web軟安全之標準、工具與技術文件。
十大Web資安漏洞列表 跨網站的入侵字串(Cross Site Scripting,簡稱XSS,亦稱為跨站腳本攻擊) 注入缺失(Injection Flaw) 惡意檔案執行(Malicious File Execution) 不安全的物件參考(Insecure Direct Object Reference) 跨網站的偽造要求 (Cross-Site Request Forgery,簡稱CSRF) 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling) 遭破壞的鑑別與連線管理(Broken Authentication and Session Management) 不安全的密碼儲存器 (Insecure Cryptographic Storage) 不安全的通訊(Insecure Communication) 疏於限制URL存取(Failure to Restrict URL Access)
網頁掛馬(1/2) 駭客攻擊企業組織或政府機關的網站,網頁遭到竄改,植入一段惡意連結,或者是設立惡意網站,透過各種宣傳手法,吸引民眾到站瀏覽。 網站的使用者連上該網站。 使用者看不到這個連結,也不必點選這個連結,只要連上網站,就會轉引自駭客預先設計好的陷阱。 在不知情的情況下,使用者被植入木馬程式。
網頁掛馬(2/2) 步驟 1:不法分子或犯罪組織發出網路釣魚郵件,用入侵的 botnet 傀儡網軍機器或Yahoo或 gmail 等電子郵件發送社交工程信件至特定使用者。 New :本次目標式社交工程攻擊事件寄件人來自被冒用的內部員工帳號,內文宛若上層交辦事項,指示收件人開啟以Word 、PowerPoint 或 PDF等辦公室常用軟體為格式的附件檔。由於信件內容使用高明的社交工程巧,甚至能延續被冒用寄件者前一封信件討論的話題,所以多數人皆不疑有它。 步驟 2:收件人開啟附件之後,相關應用程式有漏洞的電腦便會被植入惡意程式下載程式 (Downloader) New:以前的惡意程式植入程式(dropper)常見的是執行檔,現在改成每天上班都會用到的 WORD、Excel、Access、WinZip、RAR、PDF等應用程式檔案。 步驟 3:惡意程式下載程式 (Downloader)會不斷自網路下載新變種與自我更新,使得傳統防禦方式備受挑戰。 步驟 4:目標式社交工程攻擊者通常會安裝木馬後門程式於目標機器,便可進行鍵盤側錄等幕後秘密行動,有心人士擁有方便的管道,可在受害電腦連線的網路上監聽傳輸資料。 New:攻擊者入侵很多機器作為惡意程式下載點,為了避免輕易被偵測,也會在各個下載點利用JavaScript 轉址來提高偵測的難度,下載的惡意程式往往不是一隻,而是一群,因此很難全部一次清除。 FSO(File System Object )檔案系統物件,提供用來處理資料夾及檔案的物件架構工具。
2007-07-05 中國2007年上半年病毒疫情及互聯網安全報告
2008-08-08 阿碼科技非官方blog – 阿碼外傳
2008-08-08 阿碼科技非官方blog – 阿碼外傳
2008-08-08 阿碼科技非官方blog – 阿碼外傳 回避偵測技巧
2008-08-08 阿瑪科技非官方blog – 阿瑪外傳
使用電子郵件應有的警覺性觀念 為何會收到這封郵件? 是不是應該收到這封郵件? 是不是有必要開啟附件或點選連結? 為何對方會有我的郵件信箱的地址?郵件地址外流的原因?就像詐騙集團怎會有我的手機電話或個人資料一樣。 是不是應該收到這封郵件? 需要注意的是“郵件內容”,包含郵件主旨及信件內容,是不是跟我有關聯?內容是否合理?有沒有威脅利誘的字眼?有沒有詐騙的可能?。 是不是有必要開啟附件或點選連結? 真正危害的動作是開啟附件或點選連結,是這兩個動作開始讓我的電腦被植入惡意程式,所以在這兩個動作上務必審慎之。 基本上,有心人士堅信一件事...「總有一天釣到你」
2008-08-06 阿碼科技非官方blog – 阿碼外傳
分析鏈結的工具 1.HackAlert 2.LinkScanner 3.Dr.Web 4.Finjan http://hackalert.armorize.com/ 2.LinkScanner http://linkscanner.explabs.com/ 3.Dr.Web http://online.us.drweb.com/ 4.Finjan http://www.finjan.com/
作業系統 vs E-mail系統 作業系統若中毒 = 重灌 E-mail系統密碼被知 = 改密碼 ? ?
修改密碼無效
參考資料 http://armorize-cht.blogspot.com/2008/08/cnn.html http://armorize-cht.blogspot.com/2008/08/blog-post_06.html http://armorize-cht.blogspot.com/2008/08/awareness-of-e-mail.html