Download presentation
Presentation is loading. Please wait.
1
學術網站弱點檢測 演講者:魏宏吉 2012/05/25
2
大綱 1.前言 2.相關工具 3.系統架構與方法 4.測試結果與分析 5.結論
3
1.前言(5/1) 由於網際網路的普及,網頁應用程式提供的 服務也越來越多元化。
舉凡購物、轉帳、購買車票、訂購食品等服 務,皆能透過網頁應用程式來達成其需求。 因為這樣的便利性,而造成資訊外洩的事件 日益增加。
4
1.前言(5/2) 許多網站為了與使用者有良好的互動,所以 都會要求使用者註冊自己的會員帳號,以便 網站可以透過會員帳號內的個人隱私資料與 使用者保持良好的聯繫。 由於這些使用者的個人隱私資料往往儲存於 網站的後台資料庫,卻沒有受到適當的保護 所以容易遭受到駭客的攻擊,而造成使用者 隱私資料外洩。
5
1.前言(5/3) 根據QWASP組織在2010年所公佈的網站十大 風險排名顯示,SQL Injection與XSS這兩類攻 擊已經列居為前兩大風險。
6
1.前言(5/4) SQL Injection攻擊針對的對象是資料庫,攻 擊者透過SQL查詢語句的特性,將攻擊指令 注入至正常的SQL查詢語句中,使得正常的 SQL查詢語句變成不正常的攻擊指令。 XSS攻擊針對的對象是前端的使用者,攻擊 者將XXS攻擊指令先注入至後端資料庫中, 當網頁瀏覽者瀏覽到該網頁時,則會自動執 行先前已注入的攻擊指令。
7
1.前言(5/5) 由於SQL Injection與XSS這兩種攻擊的普及性 日益增高,本研究為了學術網站的安全性考 量,所以提出一個專門檢測以上兩種弱點的 檢測工具(Tools for Detecting Academic Website Weakness, TFDAWW),供學術網站 管理者來使用。 學術網站管理者可以透過此工具來檢測自己 的網站,並藉由工具所產生的檢測報表,來 改善自己網站的弱點。
8
2.相關工具(2/1) 現今已有許多工具可以用來檢測網站是否存 在SQL Injection或XSS的弱點。 Scrawlr – HP
Paros – Proxy Base Nessus – Client-Server Burp Suite – Proxy Base
9
2.相關工具(2/2) 下表為上列四個弱點檢測工具與我們所提出 的TFDAWW比較的比較表,我們將對每個弱 點掃描工具的功能性做分析,以區別其差異 性。
10
3.系統架構與方法 下圖為TFDAWW的架構圖,其包含三個主要 的模組,Crawler模組、XSS檢測模組與SQL Injection檢測模組。
11
3.1 Crawler模組 Crawler模組為一個階層式的網頁連結分析模 組,該模組會一層一層的分析受測端網頁內 所有連結的HTML標籤,並根據標籤內容,找 出所有可用的連結。
12
3.2 XSS檢測模組(4/1) XSS注入方式分為GET注入與POST注入兩種。
GET注入方式為,將檢測指令透過URL內的變 數注入至受測網站中。 POST注入方式為,將檢測指令透過網頁所提 供的表單,注入至受測網站中。 當檢測指令注入後,程式會依據弱點所產生的 特性,來判斷是否有注入成功。
13
3.2 XSS檢測模組(4/2) 下圖為XSS檢測模組的檢測畫面。
14
3.2 XSS檢測模組(4/3) XSS注入測試完成後,會產生一份弱點檢測 報表,供使用者查閱,其報表如下圖所示。
15
3.2 XSS檢測模組(4/4) 下圖為XSS檢測模組的完整流程圖。
16
3.3 SQL Injection檢測模組(4/1) SQL Injection檢測模組與XSS檢測模組兩者的 功能,除了指令注入的方式不同外,並沒有 太大的差異,兩者皆會將Crawler模組所抓取 到的連結做分析,且判斷該連結的類型與表 單遞送的方式,並將檢測指令注入至受測端 的頁面中。 指令注入後,SQL Injection檢測模組會根據 SQL Injection弱點所產生的特性,來判斷受 測的頁面是否有SQL Injection的弱點存在。
17
3.3 SQL Injection檢測模組(4/2) 下圖為SQL Injection檢測模組的檢測畫面。
18
3.3 SQL Injection檢測模組(4/3) SQL Injection檢測模組檢測後,會產生一個 紀錄檔,以供使用者查閱,如下圖所示。
19
3.3 SQL Injection檢測模組(4/4) 下圖為SQL Injection檢測模組的完整流程圖。
20
3.4 規則資料庫 本工具所採用的規則資料庫為MYSQL。
資料庫內的檢測指令主要分成SQL Injection 注入指令與XSS注入指令兩種。 檢測指令來源為 unixwiz.net,SQL Injection Attack defense(書) ,網站入侵與腳本攻防修 煉(書)中來取得,並將指令做了適當的編碼 後,才存入資料庫中。
21
4.測試結果與分析(3/1) 本研究為了分析TFDAWW的檢測準確性,所 以我們架設了一個具有SQL Injection與Cross Site Scripting(XSS)弱點的測試平台,其網頁 內容如下圖所示。
22
4.測試結果與分析(3/2) 弱點測試平台內含有SQL Injection與XSS弱點各 十個,我們將透過本論文中所提出的TFDAWW 來對弱點測試平台做檢測,並透過檢測完成後 所產生的記錄檔,來分析TFDAWW的檢測準確 度,其準確度分析表如下表所示。
23
4.測試結果與分析(3/3) 由上表的內容可知,本論文裡所提出的 TFDAWW對於檢測SQL Injection與XSS弱點的 檢測正確率皆達到80%以上,由此測試結果可 知,TFDAWW能夠找出大部份的SQL Injection 與XSS弱點,因此學術網站管理者可以透過本 論文所提出的TFDAWW,來精確地檢測自己的 網站。
24
5.結論(2/1) 我們提出一個SQL Injection與XSS的弱點檢測工具
透過我們的TFDAWW,網站管理者可以很容易的 找出自己網站內的SQL Injection與XSS的弱點,並 透過TFDAWW所產生的檢測報表,來改善自己網 站的弱點。 在未來發展上,我們希望能夠將TFDAWW做的更 完整,未來我們將會把TFDAWW與會員管理系統 做結合,使用者可以透過會員註冊的方式來使用 此系統,每個使用者皆會有一組自己的帳號,當 使用者使用自己帳號來掃描網站後,系統會將使 用者掃描過的網站記錄下來,以供使用者查詢。
25
5.結論(2/2) 除了與會員管理系統整合之外,我們還會加入 更多的弱點檢測模組,例如檔案上傳檢測模 組..等等,讓我們的TFDAWW能夠更強大且 更多元化。 除了增加額外的模組外,未來我們也會針對爬 蟲效率方面來探討,讓使用者可以更快速的檢 測自己的學術網站。
26
謝謝各位的聆聽
Similar presentations