Download presentation
Presentation is loading. Please wait.
1
本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供
弱點掃瞄系統介紹 南投區網中心 資安計劃人員 王嘉裕 本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供
2
Outline 網路安全現況與威脅 弱點掃瞄系統介紹 教育部網站應用程式弱點監測平台 2
3
3
4
4
5
Web 威脅/危機 歷年Web應用程式資安事件統計 5 資料來源:資策會,Web應用程式安全參考指引草案
6
Web 威脅/危機(con.) 惡意網頁 1 10 歐洲逾萬網站遭駭(2007/06 ) Google: 的網站很危險
駭客隨機挑選安全防護較不完整的網站為跳板,植入惡意連結程式,竊取個人機密資料及植入木馬程式做為跳板,藉以造成更大規模的感染。Sophos偵測,2007.6報告指出每天可以檢測出29700個惡意網站。其中有 80%是合法網站,但遭到了駭客入侵,並植入惡意程式。 Google: 的網站很危險 〈瀏覽器潛在的魅影:網路惡意軟體之分析〉(The Ghost in the Browser: Analysis of Web-based Malware) 1 10 6
7
Web 威脅/危機(con.)
8
StopBadware.org 8
9
國內網站淪陷列表 大砲開講 http://www.rogerspeaking.com/ TW 網站淪陷資料庫
9
10
Web application頭號嚴重資安弱點
10
11
Web application頭號嚴重資安弱點(con.)
著名的駭客攻擊手法 SQL Injection Cross-Site Scripting (XSS) XSS攻擊 透過伺服器向使用者端下手* 伺服器端 使用者端 SQL Injection攻擊 由伺服器資料庫下手 11
12
看網頁,中木馬!! 木馬後門 資料來源:新波科技 劉楨民
13
分析這些現象… 人人都知道資安很重要,但卻不知如何做。 駭客攻擊轉向有目的的行為 所以舊的威脅依然存在。 錯誤的觀念,將駭客拱成英雄。
犯罪者利用來進行犯罪行為。 駭客攻擊轉向有目的的行為 竊取機敏資料 要資料也要錢 13
14
Nessus
15
Nessus 系統弱點掃瞄與分析軟體。 1998年,Nessus 的創辦人 Renaud Deraison 進行 “Nessus” 計畫,其計畫目的是希望能為網際網路社群提供一個免費、威力強大、更新頻繁並簡易使用的遠端系統安全掃瞄程式。 2002年時, Renaud 創辦Tenable Network Security 機構。Nessus 3釋出之時,該機構收回了 Nessus 的版權與程式原始碼。 15
16
Nessus的特色 提供完整的電腦弱點掃瞄服務,並隨時更新其弱點資料庫。
其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加記憶體大小),其效率表現可因為豐富資源而提高。 可自行定義附加軟體(Plug-in) NASL(Nessus Attack Scripting Language) 是由 Tenable 所開發出的語言,用來寫入Nessus的安全測試選項。 完整支援 SSL (Secure Socket Layer)。 支援作業平台包括:Linux, Mac, FreeBSD, Solaris, Windows等。 16
17
Nessus安裝 (Server) OS: CentOS 5.3 1.http://www.nessus.org/download/
2.CentOS 5: Nessus es5.i386.rpm 3.Server端安裝: # rpm –ivh Nessus es5.i386.rpm 4.建立帳號: /opt/nessus/sbin/nessus-adduser 5.到 6.Server端啟動: # /sbin/service nessusd start 17
18
Nessus安裝 (Client) OS: Windows XP 1.http://www.nessus.org/download/
2.Windows XP, 2003, Vista & 2008: Nessus i386.msi 3.安裝完畢後啟動Nessus Client 18
19
Nessus操作 19
20
Nessus操作 20
21
Nessus相關建議 Nessus的掃瞄結果是依據主機的patch狀況而定;若遠端主機遲遲未上patch,那麼掃瞄結果也將顯示出該主機存在不少漏洞。 短時間內對多台主機做這類型的掃瞄,並提供掃瞄結果給使用者參考,同時對系統漏洞作出相對建議的應變措施,達到及早發現及早預防之效果,以免駭客有可乘之機。 21
22
Nikto
23
Nikto 網頁弱點掃瞄軟體。 可以掃瞄超過3300種潛在危險的檔案和CGI程式等;超過625種伺服器版本;超過230種特定伺服器問題。
錯誤的設定 不安全的檔案和程式 過時的軟體版本 使用Perl語言開發而成。 可以檢查HTTP和HTTPS。 同時支持基本的port掃瞄,以判定網頁伺服器是否運行在其他port。 可以使用‘update’選項從官方網站自動更新,以應對新的弱點。
24
Nikto安裝 OS: CentOS 5.3 1.http://www.cirt.net/nikto2
2.下載 3.# tar –zxvf nikto-current.tar.gz
25
Nikto操作 perl nikto.pl -h 192.168.0.1
(port 80) perl nikto.pl -output a.log -h perl nikto.pl -h p 443 perl nikto.pl -h perl nikto.pl -h p 80,88,443 perl nikto.pl -h hostfile :80 perl nikto.pl -update
26
Nikto
27
RatProxy
28
RatProxy 被動式網頁弱點掃瞄軟體 使用 Proxy 的方式運作,並非主動連接到特定網站抓取所有網頁回來分析。
Google資訊安全技術團隊所研發的程式安全偵測工具。 可偵測到的漏洞包括 Cross-site Scripting (XSS, 跨網站指令碼) 指令碼惡意置入(script inclusion issues) 惡意網頁內容(content serving problems) insufficient XSRF (跨網站請求偽造) XSS 防護(XSS defenses) 等
29
RatProxy 安裝 OS: CentOS 5.3 1. http://code.google.com/p/ratproxy/
2.下載 3. # tar –ratproxy-1.58.tar.gz
30
RatProxy操作 瀏覽器需設定Proxy,掛上server的IP位址及port ./ratproxy
-v logdir (瀏覽http的log儲存位置) -w logfile (要儲存的log檔名稱) -d domain (過濾要監測分析的domain) -p port (指定要監測的port) -r (使遠端機器可以進行使用) ./ratproxy-report.sh ratproxy.log > report.html
31
RatProxy
32
教育部網站應用程式弱點監測平台
33
教育部網站應用程式弱點監測平台 南投區域網路中心 弱點監測平台首頁:http://ewavs.ntrc.edu.tw
建構資通安全基本防護系統計劃 平台開發:成大資通安全研發中心 弱點監測平台首頁: 南投區域網路中心營運點於98年9月9日正式啟用 33
34
研究計劃內容 建置「教育單位網站應用程式弱點監測平台」,提供網站安全監控通報及SQL Injection、XSS檢測服務,並提出相關的防護與修補建議。 移轉監測機制與平台至14處區網中心,協助建立長期營運機制,使教育單位有穩定、可靠的監測工具。 提供基測、技職聯招與大考等網路服務主機、成績登錄主機等訂定資安作業規範,提供防護建議與服務。
35
檢測申請-使用者帳號申請流程圖 單位使用者 系統管理者 帳號審核 網站應用程式弱點檢測平台 1. 使用者帳號與 網站申請
3. 帳號審核通過 3. 帳號審核不通過 4. 說明與檢測同意書列印連結 4. 審核失敗 1. 使用者帳號與 網站申請 2. 通知已申請使用者帳號 2. 通知系統 管理者 35
36
5. 通過審核之使用者以紙本郵寄或傳真送出 網站檢測同意書 7. E-mail知通審核結果(通過或未通過)
檢測申請-網站檢測申請流程圖 網站應用程式弱點檢測平台 系統管理者 5. 通過審核之使用者以紙本郵寄或傳真送出 網站檢測同意書 單位使用者 6. 審核使用者申請的網站 8. 管理者以郵寄或傳真方式送出 保密切結書 7. 知通審核結果(通過或未通過) 36
37
檢測申請流程說明 ●檢測服務申請流程說明: 【使用者帳號申請流程】 【網站檢測申請流程】
1. 單位使用者至「網站應用程式弱點檢測平台」申請個人資訊與檢 測平台網址。 2. 填寫完畢後,平台將註冊資訊以電子郵件傳送給使用者,並發E- Mail通知管理者有新單位使用者帳號加入 3. 管理者審核單位使用者帳號 4. 審核結果由平台發通知信給單位使用者並且說明原因。 【網站檢測申請流程】 5. 審核通過之單位使用者依通知信列印校園網站弱點檢測同意書,附上單位章以郵寄或傳真方式送給營運點之管理者。(聯絡資訊請參閱平台上之各營運點聯絡資訊說明) 6. 管理者收到紙本校園網站弱點檢測同意書後,審核核對帳號與受測網站資料是否有誤。 7.並以 回覆審核結果給單位使用者,審核無誤後,管理者 開通單位使用者申請之檢測網址。 8.管理者郵寄或傳真保密切結書給單位使用者。 37
38
系統檢測流程圖 單位使用者 2. 3. ●流程說明: 網站應用程式弱點檢測平台 1. 登入平台 進入「網站排程」頁面
下拉「檢測網址」選擇受測網站,點選「檢測服務時程」選擇檢測時間 3. 4. 系統依排程進行網站檢測 5. 檢測完成,系統自動產生檢測報告 6. 寄發檢測完成通知 ●流程說明: 單位使用者登入平台 在「檢測網址」選擇受測網站,並點選 「檢測服務時程」選擇檢測時間 (註:同一帳號申請另一次檢測,排程需間隔一天) 7. 登入平台,進入「網站結果」頁面瀏覽檢測報告 平台依排程進行網站檢測 檢測完成,平台自動自動產生檢測報告 寄發檢測完成通知給單位使用者 單位使用者登入平台, 進入「網站結果」頁面瀏覽檢測報告 38
39
異動流程-單位使用者資料修改流程圖 單位使用者 ●流程說明: 單位使用者登入平台修改個人資料 (帳號與E-Mail無法變更)
網站應用程式弱點檢測平台 ●流程說明: 單位使用者登入平台修改個人資料 (帳號與 無法變更) 點選「修改」後,完成修改動作 使用者的 異動時,請與平台管理者連絡 1. 使用者登入平台修改個人資料 (帳號與 無法變更) 2. 點選「修改」後,完成修改動作 39
40
異動流程-檢測網站新增流程圖 單位使用者 系統管理者 ●流程說明: 單位使用者登入平台,進入「網站維護」頁面
網站應用程式弱點檢測平台 系統管理者 4. 管理者人工審核網址 1. 使用者登入平台 3. 系統寄發新網站 申請給管理者 5. 系統寄發審核 結果給使用者 2. 新增檢測網站的網址 ●流程說明: 單位使用者登入平台,進入「網站維護」頁面 在最後一行欄位輸入新增檢測網站的網址,點選「新增」 平台寄發新網站檢測申請給管理者 管理者人工審核網址 系統寄發審核結果給單位使用者。 40
41
異動流程-檢測網站刪除流程圖 單位使用者 ●流程說明: 單位使用者登入平台,進入「網站維護」頁面。
網站應用程式弱點檢測平台 1. 使用者登入平台 2. 刪除檢測網站的網址 3. 完成網址刪除動作 ●流程說明: 單位使用者登入平台,進入「網站維護」頁面。 點選「刪除」,刪除檢測網站的網址與相關檢測資料 (注意:一旦刪除就無法復原, 其相對應之檢測報告也會一併刪除) 完成網址刪除動作。 註:網站尚未設定檢測排程之前以及網站已設定排程且檢測狀態為[已完成]、[已中斷]時才可使用刪除功能 等待中 41
42
異動流程 – 平台中斷機制 單位使用者 系統管理者 ●流程說明: 網站應用程式弱點檢測平台 3. 系統依排程繼續進行網站檢測
平台發現中斷,平台以 通知單位使用者 登入進入「網站排程」頁面,重新排程 平台依照新排程繼續進行網站檢測 檢測完成,系統自動產生檢測報告 寄發檢測完成通知 1. 排程中斷,以 通知該 排程之使用者 2. 登入平台,重新排程 系統管理者 4. 檢測完成,系統自動產生檢測報告 3. 系統依排程繼續進行網站檢測 5. 寄發檢測完成通知 42
43
網站應用程式弱點監測平台簡介
44
平台首頁 44
45
申請服務 會員申請 填妥資料後按下[申請] 45
46
列印檢測同意書 使用者通收到審核通知信後,即可登入本平台列印檢測同意書。 46
47
平台功能說明 網站維護 新增 刪除 網址(URL)格式如 http://xxx.edu.tw
增加欲進行弱點檢測之網站清單,狀態欄為「已審核」者才得以進行檢測申請(網站排程頁面)。 刪除 管理欄顯示為「尚未進行排程」或「已檢測完成」者,才得以刪除該筆檢測網站資料。 網址(URL)格式如 新增後均需要再經由管理者人工審核通過後,才可列入網站維護清單。 47
48
平台功能說明(cont.) 網站排程 滑鼠點一下 該時段已申請檢測之排程數, 同時段排程上限由各營運點自行設定 48
49
平台功能說明(cont.) 網站排程說明 使用者檢測排程之資訊 (設定)網站排程 設定已中斷排程 取消排程
前次設定排程時間:2009/7/23 下午 02:48:02 排程間隔時間:23 小時 同時線上可排程數:10 目前線上排程數:8 剩餘可排程數:2 (設定)網站排程 檢測時段:早 (06:00~18:00) 晚 (18:01~05:59) 同時段檢測排程之上限,請參考各營運點之規定。 設定已中斷排程 檢測排程發生中斷時,使用者可重新設定未完成檢測之下次檢測時間。 取消排程 允許取消大於2天後的排程。(即2天內將執行的排程無法取消) 49
50
平台功能說明(cont.) 網站檢測結果 排序類別 50
51
平台功能說明(cont.) 會員資料修改 註:帳號、 不允許修改,因 為已通過審核之資料, 為確保可正常寄送mail故不允許修改,若需修改請聯絡平台管理者。 51
52
平台功能說明(cont.) 最新消息 52
53
平台功能說明(cont.) 關於系統 53
54
平台功能說明(cont.) 下載專區 54
55
平台功能說明(cont.) 問與答 55
56
網站應用程式弱點監測平台 檢測結果分析
57
檢測報表分析 檢測數量與發現之弱點數 檢測目標資訊 圖表方式呈現檢測數量與弱點數量 弱點分析 57
58
XSS弱點列表 58
59
XSS弱點畫面 加入測試XSS測試字串 畫面跳出警告視窗,判定具有XSS弱點 59
60
SQL Injection弱點列表 60
61
判定SQL Injection弱點之畫面 加入測試SQL測試字串 ”恆等式(上欄)”與”恆不等式(下欄)” 回應內容不同,判定有SQL弱點
61
62
弱點修護建議之畫面 62
63
教育部網站應用程式監測平台檢測成效
64
成效測試對象 檢測網站:公立大學 - 入口網站 私立科技大學 - 整合型入口網站 公立高中 - 入口網站、班級部落格網
站、非核心行政業務網站 檢測項目:XSS與SQL Injection弱點 比較方式:與3套檢測工具之結果比較檢測時間與 準確度 64
65
檢測比較工具 使用之工具: 選用原因: 缺點: 商業檢測工具:2套 免費檢測工具:1套 功能多、常見度高,熱門之「網站弱點掃瞄工具」
INSECURE.ORG網站中,兩工具皆排名在前十名( 缺點: 功能與掃瞄項目比較多,容易產生高誤報率 65
66
成效測試檢測流程說明 66
67
檢測時間比較-國立大學入口網站 檢測程序 5 15 <1 < 1 22 --- 32 128 50 65 檢測工具 Google
搜尋URL Spider XSS 檢測 SQL Injection檢測 總計 (分鐘) 教育部網站 應用程式弱點 監測平台 5 15 <1 < 1 22 工具1 --- 32 工具2 128 工具3 50 65 67
68
檢測準確度比較 -國立大學入口網站 檢測工具 搜尋總URL數 執行檢測URL數 XSS 弱點數 SQL Injection弱點數 弱點數總計
教育部網站 應用程式弱點 監測平台 1540 796 工具1 1651 ≦1651 工具2 1213 ≦ 1213 1 工具3 1711 ≦1711 2 68
69
檢測結果-國立大學入口網站 檢測平台並未發現弱點;但工具2與工具3共發現3項XSS 弱點,經手動檢測確認無誤。 弱點判斷: 原因: 結論:
平台在spider過程中並未爬尋到此3筆url。 經手動加入3筆含弱點url到檢測清單後,平台即判斷出此3筆 url含有XSS弱點。 原因: 應用程式中若含有Flash架構或自訂JavaScript語法之URL,Spider過程中部分URL可能無法蒐集。 結論: 若在Spider加入相關判斷規則,可能造成誤判機率的增加。 考量執行時間與平台運作成效等因素,建議各單位仍須使用其他檢測工具。 69
70
檢測時間比較 -私立科大整合型入口網站 檢測程序 <1分鐘 3 10分鐘 3.2 --- 48 6 檢測工具 Google 搜尋URL
Spider XSS 檢測 SQL Injection檢測 總計 (小時) 教育部網站 應用程式弱點 監測平台 <1分鐘 3 10分鐘 3.2 工具1 --- 48 工具3 6 70
71
檢測準確度比較 -私立科大整合型入口網站 檢測工具 搜尋總URL數 執行檢測URL數 XSS 弱點數
SQL Injection弱點數(誤報) 弱點數總計 教育部網站 應用程式弱點 監測平台 10527 6841 1 工具1 10437 ≦10437 0(392) 工具3 12291 ≦12291 71
72
檢測結果 -私立科大整合型入口網站 工具1發現392筆疑似SQL Injection弱點如下:
72
73
檢測時間比較 -公立高中入口網站 檢測程序 <1 1 3 --- 40 60 28 7 35 檢測工具 Google 搜尋URL
Spider XSS 檢測 SQL Injection檢測 總計 (分鐘) 教育部網站 應用程式弱點 監測平台 <1 1 3 工具1 --- 40 工具2 60 工具3 28 7 35 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 73
74
檢測準確度比較 -公立高中入口網站 檢測工具 搜尋總URL數 執行檢測URL數 XSS 弱點數 SQL Injection弱點數
弱點數總計(僅此工具有發現之弱點) 教育部網站 應用程式弱點 監測平台 941 29 9 10 19(1) 工具1 755 ≦ 755 18(0) 工具2 542 ≦ 542 2 8 10(0) 工具3 3767 ≦ 3767 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 74
75
檢測時間比較 -公立高中班級部落格網站(IP)
檢測程序 檢測工具 Google 搜尋URL Spider XSS 檢測 SQL Injection檢測 總計 (分鐘) 教育部網站 應用程式弱點 監測平台 <1 17 5 33 56 工具1 --- 200 工具2 450 工具3 60 40 100 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 75
76
檢測準確度比較 -公立高中班級部落格網站(IP)
檢測工具 搜尋總URL數 執行檢測URL數 XSS 弱點數 SQL Injection弱點數(誤報) 弱點數總計(僅此工具有發現之弱點) 教育部網站 應用程式弱點 監測平台 8238 1240 4 37 41(2) 工具1 3393 ≦ 3393 2 53(2) 55(16) 工具2 5185 ≦ 5185 57(85) 57(20) 工具3 14357 ≦ 14357 8(72) 8(0) 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 76
77
檢測結果 -公立高中班級部落格網站(IP)
網站分析 主機網站無入口網頁,URL蒐集無法完整蒐集。 監測平台Google搜尋檢測目標網域名稱無資料,得搜尋網域IP。 相較監測平台採自動蒐集URL,工具需採手動蒐集,故搜尋URL數量會高於平台,發現弱點數量亦較多,導致平台檢測數量、弱點數量與工具落差甚大。但因各班班級網頁結構相同,所以平台的成效不見得比工具差。(某班級網頁有弱點,其他班級同樣有弱點) 弱點數量多之原因 網站中利用套件應用程式架設部落格及討論區,套件存在弱點多,建議更新套件版本修補弱點。 77
78
檢測準確度比較 -公立高中非核心行政業務網站A
檢測程序 檢測工具 Google 搜尋URL Spider XSS 檢測 SQL Injection檢測 總計 (分鐘) 教育部網站 應用程式弱點 監測平台 Doamin <1 1 3 13 18 IP 15 20 工具1 以Domain檢測 以IP檢測 40 工具2 --- 200 工具3 25 35 60 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 78
79
檢測準確度比較 -公立高中非核心行政業務網站A
檢測工具 搜尋總URL數 執行檢測URL數 XSS 弱點數 SQL Injection弱點數(誤報) 弱點數總計(僅此工具有發現之弱點) 教育部網站 應用程式弱點監測平台 Domain 1006 317 1 11 11(8) IP 1196 123 13 14(11) 工具1 755 ≦ 755 0(0) 3322 ≦ 3322 1(0) 工具2 2961 ≦ 2961 2(0) 工具3 3834 ≦ 3834 3(25) 3(0) 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 79
80
檢測結果 -公立高中非核心行政業務網站A 網頁中並存網域「名稱」及「IP」,較為複雜,檢測過程需分別檢測。
網站中利用套件應用程式架設部落格及討論區,網路下載之套件存在弱點多,建議更新套件修補弱點。 80
81
檢測準確度比較 -公立高中非核心行政業務網站B
檢測程序 檢測工具 Google 搜尋URL Spider XSS 檢測 SQL Injection檢測 總計 (分鐘) 教育部網站 應用程式弱點 監測平台 <1 1 3 10 15 工具1 --- 60 工具2 150 工具3 5 40 45 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 81
82
檢測準確度比較 -公立高中非核心行政業務網站B
檢測工具 搜尋總URL數 執行檢測URL數 XSS 弱點數 SQL Injection弱點數(誤報) 弱點數總計(僅此工具有發現之弱點) 教育部網站應用程式弱點 監測平台 574 22 0(1) 工具1 505 ≦ 505 工具2 235 ≦ 235 工具3 334 ≦ 334 0(5) 工具1:Watchfire App Scan 7.0 工具2:Acunetix Web Vulneraility Scanner 5 工具3:Paros 82
83
檢測結果 -公立高中非核心行政業務網站B 平台誤報情況原因 檢測網站結果 檢測過程中無發現弱點
連線網站伺服器速度慢,回應錯誤,造成平台判斷弱點錯誤 83
84
搜尋總URL數 監測平台Spider會依據Google搜尋之結果,繼續搜尋更多網頁,與一般檢測工具Spider程式搜尋方式不同。
依據列表執行 Spider程式 Google 搜尋列表 教育部監測平台 搜尋更多網頁 搜尋更多網頁 依據受測網址 執行Spider程式 一般檢測工具 84
85
檢測效能(cont.) 執行檢測URL數: 弱點總計:
執行檢測時,在不影響準確度的標準下,依據特定準則過濾「搜尋總URL網址」,並不對全部URL進行檢測,以提升整體檢測成效。 弱點總計: 教育部監測平台有特定之檢測方式與判定弱點之方式,與一般檢測工具所定義之規則不同,可以減少誤報率,正確找出網站之弱點。 85
86
效能測試的發現(以本次受測單位為例) 資源的差異將影響檢測的過程與結果 註:本次檢測多為該校之入口網站。 網站管理 網站設計 網站開發
硬體設備 網站弱點 檢測過程 弱點修補 公立大學 分散管理 專職人員 自行開發或委外 良好 少 平順 有能力 修補 私立科大 集中管理 自行開發 公立高中 資訊老師 自行開發或使用套件 需加強 多 狀況較多 需協助 註:本次檢測多為該校之入口網站。 86
87
檢測服務相關建議
88
檢測服務注意事項 申請時注意事項 申請網站的類型 只允許TANet連線單位的網域申請本平台的檢測服務。 僅提供單位所屬網域內的網站申請檢測。
本營運點檢測結果僅能作為貴單位(校)評估網站安全性之參考,不應為維一依據,建議仍須使用其他檢測工具,以提供網站安全。 申請網站的類型 動態網站(ASP、ASP.NET、PHP、JSP)。
89
檢測限制 教育部監測平台目前只可針對XSS與SQL Injection弱點進行檢測。
檢測時段:早 (06:00~18:00)與晚(18:01~05:59) 若網站規模較大,可能會超過檢測時段,使用者需再次設定排程。 教育部監測平台對受測網站有要求時間(Request Time)限制,若超過時限(30分鐘),則跳過該筆檢測。 後台頁面無法登入進行檢測,管理者需自行留意是否存在弱點。 應用程式中若含有Flash架構或自訂JavaScript語法之URL,Spider過程中部分URL可能無法蒐集。 89
90
相關建議 針對XSS與SQL Injection弱點,提供相關建議
確實檢查使用者輸入的每一項參數值,透過「取代」或「過濾」使用者的輸入或輸出內容來避免。 使用一般檢測工具,在本機端檢測後台網站應用程式 對於機敏頁面(如登入畫面),建議採用SSL機制,建立安全之傳輸通道 手動檢測Flash架構及JavaScript語法傳輸之URL。 90
91
Thank you
Similar presentations