Presentation is loading. Please wait.

Presentation is loading. Please wait.

OWASP心得 許家瑞.

Published byIwan Kusnadi Modified 5年之前

Similar presentations

Presentation on theme: "OWASP心得 許家瑞."— Presentation transcript:

1 OWASP心得 許家瑞

2 大網 簡介 十大Web資安漏洞列表 網站掛馬 修改密碼無效 結論 參考

3 簡介 OWASP(Open Web Application Security Project,開放web軟安全計畫)是一個開放社群、非營利性組織。 研議助解決Web軟安全之標準、工具與技術文件。

4 十大Web資安漏洞列表 跨網站的入侵字串(Cross Site Scripting,簡稱XSS,亦稱為跨站腳本攻擊)
注入缺失(Injection Flaw) 惡意檔案執行(Malicious File Execution) 不安全的物件參考(Insecure Direct Object Reference) 跨網站的偽造要求 (Cross-Site Request Forgery,簡稱CSRF) 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling) 遭破壞的鑑別與連線管理(Broken Authentication and Session Management) 不安全的密碼儲存器 (Insecure Cryptographic Storage) 不安全的通訊(Insecure Communication) 疏於限制URL存取(Failure to Restrict URL Access)

5 網頁掛馬(1/2) 駭客攻擊企業組織或政府機關的網站,網頁遭到竄改,植入一段惡意連結,或者是設立惡意網站,透過各種宣傳手法,吸引民眾到站瀏覽。 網站的使用者連上該網站。 使用者看不到這個連結,也不必點選這個連結,只要連上網站,就會轉引自駭客預先設計好的陷阱。 在不知情的情況下,使用者被植入木馬程式。

6 網頁掛馬(2/2) 步驟 1:不法分子或犯罪組織發出網路釣魚郵件,用入侵的 botnet 傀儡網軍機器或Yahoo或 gmail 等電子郵件發送社交工程信件至特定使用者。 New :本次目標式社交工程攻擊事件寄件人來自被冒用的內部員工帳號,內文宛若上層交辦事項,指示收件人開啟以Word 、PowerPoint 或 PDF等辦公室常用軟體為格式的附件檔。由於信件內容使用高明的社交工程巧,甚至能延續被冒用寄件者前一封信件討論的話題,所以多數人皆不疑有它。 步驟 2:收件人開啟附件之後,相關應用程式有漏洞的電腦便會被植入惡意程式下載程式 (Downloader) New:以前的惡意程式植入程式(dropper)常見的是執行檔,現在改成每天上班都會用到的 WORD、Excel、Access、WinZip、RAR、PDF等應用程式檔案。 步驟 3:惡意程式下載程式 (Downloader)會不斷自網路下載新變種與自我更新,使得傳統防禦方式備受挑戰。 步驟 4:目標式社交工程攻擊者通常會安裝木馬後門程式於目標機器,便可進行鍵盤側錄等幕後秘密行動,有心人士擁有方便的管道,可在受害電腦連線的網路上監聽傳輸資料。 New:攻擊者入侵很多機器作為惡意程式下載點,為了避免輕易被偵測,也會在各個下載點利用JavaScript 轉址來提高偵測的難度,下載的惡意程式往往不是一隻,而是一群,因此很難全部一次清除。 FSO(File System Object )檔案系統物件,提供用來處理資料夾及檔案的物件架構工具。

7 2007-07-05 中國2007年上半年病毒疫情及互聯網安全報告

8 阿碼科技非官方blog – 阿碼外傳

9 阿碼科技非官方blog – 阿碼外傳

10 阿碼科技非官方blog – 阿碼外傳 回避偵測技巧

11 阿瑪科技非官方blog – 阿瑪外傳

12 使用電子郵件應有的警覺性觀念 為何會收到這封郵件? 是不是應該收到這封郵件? 是不是有必要開啟附件或點選連結?
為何對方會有我的郵件信箱的地址?郵件地址外流的原因?就像詐騙集團怎會有我的手機電話或個人資料一樣。 是不是應該收到這封郵件? 需要注意的是“郵件內容”,包含郵件主旨及信件內容,是不是跟我有關聯?內容是否合理?有沒有威脅利誘的字眼?有沒有詐騙的可能?。 是不是有必要開啟附件或點選連結? 真正危害的動作是開啟附件或點選連結,是這兩個動作開始讓我的電腦被植入惡意程式,所以在這兩個動作上務必審慎之。 基本上,有心人士堅信一件事...「總有一天釣到你」

13 阿碼科技非官方blog – 阿碼外傳

14 分析鏈結的工具 1.HackAlert 2.LinkScanner 3.Dr.Web 4.Finjan
2.LinkScanner 3.Dr.Web 4.Finjan

15 作業系統 vs 系統 作業系統若中毒 = 重灌 系統密碼被知 = 改密碼 ? ?

16 修改密碼無效

17 參考資料 http://armorize-cht.blogspot.com/2008/08/cnn.html

Download ppt "OWASP心得 許家瑞."

Similar presentations

Chapter 20. 行銷管理 Chapter 20 網路 行銷 20-2 行銷管理 Chapter 20 網路 行銷 20-3 美國加州大學洛杉磯分校( University of California at Los Angeles )和史坦福研究中心( Stanford Research Institute.

Chapter 20. 行銷管理 Chapter 20 網路 行銷 20-2 行銷管理 Chapter 20 網路 行銷 20-3 美國加州大學洛杉磯分校( University of California at Los Angeles )和史坦福研究中心( Stanford Research Institute.
104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.

104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.
完美履歷表撰寫技巧 樹德科技大學 課程:國文寫作技巧 教師:黃湃翔老師.

完美履歷表撰寫技巧 樹德科技大學 課程:國文寫作技巧 教師:黃湃翔老師.
Security Checking Systems for Mobile Devices

Security Checking Systems for Mobile Devices
高一年级过渡性学习 活动汇报 高一年级组 教科研室 汉滨高中.

高一年级过渡性学习 活动汇报 高一年级组 教科研室 汉滨高中.
Chapter 5 全球資訊網 5-1 World Wide Web 的誕生 5-2 使用Internet Explorer

Chapter 5 全球資訊網 5-1 World Wide Web 的誕生 5-2 使用Internet Explorer
心靈補給站 你可以「活」的「更好」 輔導主任 陳正馨老師.

心靈補給站 你可以「活」的「更好」 輔導主任 陳正馨老師.
Hadoop 單機設定與啟動 step 1. 設定登入免密碼 step 2. 安裝java step 3. 下載安裝Hadoop

Hadoop 單機設定與啟動 step 1. 設定登入免密碼 step 2. 安裝java step 3. 下載安裝Hadoop
物聯網安全 物聯網的軟體安全分析.

物聯網安全 物聯網的軟體安全分析.
第 1 章 使用 APP INVENTOR 2 開發 ANDROID APP

第 1 章 使用 APP INVENTOR 2 開發 ANDROID APP
通訊 授課:方順展.

通訊 授課:方順展.
程式設計概論 1.1 程式設計概論 程式語言的演進 物件導向程式 程式開發流程 1.2 C++開發工具

程式設計概論 1.1 程式設計概論 程式語言的演進 物件導向程式 程式開發流程 1.2 C++開發工具
PDFCreator安裝教學.

PDFCreator安裝教學.
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux

第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
第1章 認識Arduino.

第1章 認識Arduino.
資料庫管理 操作DBMS 指導教授:楊維邦  助教:廖皓翔.

資料庫管理 操作DBMS 指導教授:楊維邦  助教:廖皓翔.
SSL-VPN 之登入及使用 資訊處 主講人.

SSL-VPN 之登入及使用 資訊處 主講人.
中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.

中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.
資訊及通訊科技科 Information and Communication Technology (ICT)

資訊及通訊科技科 Information and Communication Technology (ICT)
資訊及通訊科技科 Information and Communication Technology (ICT)

資訊及通訊科技科 Information and Communication Technology (ICT)

Similar presentations

Ads by Google