Presentation is loading. Please wait.

Presentation is loading. Please wait.

學術網站弱點檢測 演講者:魏宏吉 2012/05/25.

Similar presentations


Presentation on theme: "學術網站弱點檢測 演講者:魏宏吉 2012/05/25."— Presentation transcript:

1 學術網站弱點檢測 演講者:魏宏吉 2012/05/25

2 大綱 1.前言 2.相關工具 3.系統架構與方法 4.測試結果與分析 5.結論

3 1.前言(5/1) 由於網際網路的普及,網頁應用程式提供的 服務也越來越多元化。
舉凡購物、轉帳、購買車票、訂購食品等服 務,皆能透過網頁應用程式來達成其需求。 因為這樣的便利性,而造成資訊外洩的事件 日益增加。

4 1.前言(5/2) 許多網站為了與使用者有良好的互動,所以 都會要求使用者註冊自己的會員帳號,以便 網站可以透過會員帳號內的個人隱私資料與 使用者保持良好的聯繫。 由於這些使用者的個人隱私資料往往儲存於 網站的後台資料庫,卻沒有受到適當的保護 所以容易遭受到駭客的攻擊,而造成使用者 隱私資料外洩。

5 1.前言(5/3) 根據QWASP組織在2010年所公佈的網站十大 風險排名顯示,SQL Injection與XSS這兩類攻 擊已經列居為前兩大風險。

6 1.前言(5/4) SQL Injection攻擊針對的對象是資料庫,攻 擊者透過SQL查詢語句的特性,將攻擊指令 注入至正常的SQL查詢語句中,使得正常的 SQL查詢語句變成不正常的攻擊指令。 XSS攻擊針對的對象是前端的使用者,攻擊 者將XXS攻擊指令先注入至後端資料庫中, 當網頁瀏覽者瀏覽到該網頁時,則會自動執 行先前已注入的攻擊指令。

7 1.前言(5/5) 由於SQL Injection與XSS這兩種攻擊的普及性 日益增高,本研究為了學術網站的安全性考 量,所以提出一個專門檢測以上兩種弱點的 檢測工具(Tools for Detecting Academic Website Weakness, TFDAWW),供學術網站 管理者來使用。 學術網站管理者可以透過此工具來檢測自己 的網站,並藉由工具所產生的檢測報表,來 改善自己網站的弱點。

8 2.相關工具(2/1) 現今已有許多工具可以用來檢測網站是否存 在SQL Injection或XSS的弱點。 Scrawlr – HP
Paros – Proxy Base Nessus – Client-Server Burp Suite – Proxy Base

9 2.相關工具(2/2) 下表為上列四個弱點檢測工具與我們所提出 的TFDAWW比較的比較表,我們將對每個弱 點掃描工具的功能性做分析,以區別其差異 性。

10 3.系統架構與方法 下圖為TFDAWW的架構圖,其包含三個主要 的模組,Crawler模組、XSS檢測模組與SQL Injection檢測模組。

11 3.1 Crawler模組 Crawler模組為一個階層式的網頁連結分析模 組,該模組會一層一層的分析受測端網頁內 所有連結的HTML標籤,並根據標籤內容,找 出所有可用的連結。

12 3.2 XSS檢測模組(4/1) XSS注入方式分為GET注入與POST注入兩種。
GET注入方式為,將檢測指令透過URL內的變 數注入至受測網站中。 POST注入方式為,將檢測指令透過網頁所提 供的表單,注入至受測網站中。 當檢測指令注入後,程式會依據弱點所產生的 特性,來判斷是否有注入成功。

13 3.2 XSS檢測模組(4/2) 下圖為XSS檢測模組的檢測畫面。

14 3.2 XSS檢測模組(4/3) XSS注入測試完成後,會產生一份弱點檢測 報表,供使用者查閱,其報表如下圖所示。

15 3.2 XSS檢測模組(4/4) 下圖為XSS檢測模組的完整流程圖。

16 3.3 SQL Injection檢測模組(4/1) SQL Injection檢測模組與XSS檢測模組兩者的 功能,除了指令注入的方式不同外,並沒有 太大的差異,兩者皆會將Crawler模組所抓取 到的連結做分析,且判斷該連結的類型與表 單遞送的方式,並將檢測指令注入至受測端 的頁面中。 指令注入後,SQL Injection檢測模組會根據 SQL Injection弱點所產生的特性,來判斷受 測的頁面是否有SQL Injection的弱點存在。

17 3.3 SQL Injection檢測模組(4/2) 下圖為SQL Injection檢測模組的檢測畫面。

18 3.3 SQL Injection檢測模組(4/3) SQL Injection檢測模組檢測後,會產生一個 紀錄檔,以供使用者查閱,如下圖所示。

19 3.3 SQL Injection檢測模組(4/4) 下圖為SQL Injection檢測模組的完整流程圖。

20 3.4 規則資料庫 本工具所採用的規則資料庫為MYSQL。
資料庫內的檢測指令主要分成SQL Injection 注入指令與XSS注入指令兩種。 檢測指令來源為 unixwiz.net,SQL Injection Attack defense(書) ,網站入侵與腳本攻防修 煉(書)中來取得,並將指令做了適當的編碼 後,才存入資料庫中。

21 4.測試結果與分析(3/1) 本研究為了分析TFDAWW的檢測準確性,所 以我們架設了一個具有SQL Injection與Cross Site Scripting(XSS)弱點的測試平台,其網頁 內容如下圖所示。

22 4.測試結果與分析(3/2) 弱點測試平台內含有SQL Injection與XSS弱點各 十個,我們將透過本論文中所提出的TFDAWW 來對弱點測試平台做檢測,並透過檢測完成後 所產生的記錄檔,來分析TFDAWW的檢測準確 度,其準確度分析表如下表所示。

23 4.測試結果與分析(3/3) 由上表的內容可知,本論文裡所提出的 TFDAWW對於檢測SQL Injection與XSS弱點的 檢測正確率皆達到80%以上,由此測試結果可 知,TFDAWW能夠找出大部份的SQL Injection 與XSS弱點,因此學術網站管理者可以透過本 論文所提出的TFDAWW,來精確地檢測自己的 網站。

24 5.結論(2/1) 我們提出一個SQL Injection與XSS的弱點檢測工具
透過我們的TFDAWW,網站管理者可以很容易的 找出自己網站內的SQL Injection與XSS的弱點,並 透過TFDAWW所產生的檢測報表,來改善自己網 站的弱點。 在未來發展上,我們希望能夠將TFDAWW做的更 完整,未來我們將會把TFDAWW與會員管理系統 做結合,使用者可以透過會員註冊的方式來使用 此系統,每個使用者皆會有一組自己的帳號,當 使用者使用自己帳號來掃描網站後,系統會將使 用者掃描過的網站記錄下來,以供使用者查詢。

25 5.結論(2/2) 除了與會員管理系統整合之外,我們還會加入 更多的弱點檢測模組,例如檔案上傳檢測模 組..等等,讓我們的TFDAWW能夠更強大且 更多元化。 除了增加額外的模組外,未來我們也會針對爬 蟲效率方面來探討,讓使用者可以更快速的檢 測自己的學術網站。

26 謝謝各位的聆聽


Download ppt "學術網站弱點檢測 演講者:魏宏吉 2012/05/25."

Similar presentations


Ads by Google