網站程式資安白箱與黑箱檢測處理經驗分享
•
23 j'aime•22,525 vues
網路應用程式資安掃描,白箱檢測與黑箱檢測介紹, 弱點修補方式參考 漏洞修補範例程式 https://github.com/jiun-jeng/SampleSafeWebapp 不安全網站程式範例 https://github.com/jiun-jeng/SampleUnSafeWebapp
Recommandé
Contenu connexe
Tendances
Tendances (20)
En vedette
En vedette (20)
Similaire à 網站程式資安白箱與黑箱檢測處理經驗分享
Similaire à 網站程式資安白箱與黑箱檢測處理經驗分享 (20)
網站程式資安白箱與黑箱檢測處理經驗分享
- 2. 大綱 網站程式資安的重要性 常見網站程式弱點 白箱檢測 ◦ 介紹與操作說明 ◦ 實機檢測Demo ◦ 報告解讀與修補建議 黑箱檢測 ◦ 介紹與操作說明 ◦ 報告解讀與修補建議 結語 Q&A 1
- 3. 課程目標 希望與課者能透過本課程 ◦ 了解常見網站程式弱點 ◦ 了解白箱檢測軟體使用方式與報告解讀 ◦ 了解白箱檢測修補方式 ◦ 了解黑箱檢測軟體使用方式與報告解讀 ◦ 了解黑箱檢測修補方式 提供與課者資安修補參考程式 2
- 4. 網站程式資安的重要性 Heartland ◦ Date: March, 2008 ◦ Impact: 134 million credit cards exposed through SQL injection to install spyware on Heartland's data systems. Sony ◦ Date: April 20, 2011 ◦ Impact: 77 million PlayStation Network accounts hacked; Sony is said to have lost millions while the site was down for a month. ESTsoft ◦ Date: July-August, 2011 ◦ Impact: The personal information of 35 million South Koreans was exposed after hackers breached the security of a popular software provider. AOL ◦ Date: August 6, 2006 ◦ Impact: Data on more than 20 million web inquiries, from more than 650,000 users, including shopping and banking data were posted publicly on a web site. 3
- 5. 網站程式資安的重要性 網站資安漏洞造成 ◦ 商譽損失 ◦ 賠償問題 ◦ 網站停擺 隨著網際網路、線上交易的發展,網站 安全更受重視, 影響的層面也更大 4
- 7. 常見網站程式弱點 網頁應用程式弱點的最新消息發布及更新 ◦ OWASP (https://www.owasp.org) 開放社群,目前大多的檢測工具都已經將 OWASP Top 10 列為基本的檢測項目。 ◦ WASC (http://www.webappsec.org) 將網站的安全威脅進行分類,共分成 34 種威脅。 ◦ CWE/SANS (https://cwe.mitre.org) CWE/SANS Top 25 由 MITRE 和 SANS 合作,共同發布網 頁應用程式前25大的威脅。 6
- 11. 常見網站程式弱點 SQL Injection ◦ 惡意的 SQL 指令被插入於事先定義好的 SQL 指令中,並試圖改變執行的結果 攻擊情境 10
- 15. 常見網站程式弱點 白箱與黑箱檢測軟體可以 ◦ 自動掃描所有網站程式 ◦ 偵測常見網站程式弱點 ◦ 產生檢測報告,供網站開發人員進行確認與 修補網站弱點,以避免網站遭受駭客攻擊 14
- 16. 白箱檢測 源碼檢測 分析源碼行為以指出安全問題所在,如弱點 種類、攻擊路徑等 檢測的結果仍會有誤報 (False Positive) 及漏報 (False Negative) 的可能 ◦ 先利用檢測工具進行檢測,找出常見的潛 在弱點,再依工具分析結果,進一步進行 了解、確認、修改。 公司使用Armorize CodeSecure白箱檢測軟體 15
- 17. 白箱檢測 Armorize CodeSecure可檢測PHP 、Java 、 ASP、ASP.NET等語言開發之網站程式 功能列表參考 16 http://cloud- sharing.net/Armorize/document/CodeSecureSupportList421.pdf
- 26. 白箱檢測-報告解讀 25
- 31. 白箱檢測-修補建議 SampleSafeWebapp.zip SQL Injection ◦ 使用參數化的查詢 (預備陳述式,prepared statement)。使用預備陳述式與參數的綁定可以消 除 SQL 注入的弱點。 30
- 34. 白箱檢測-XSS修補建議 Cross-Site Scripting ◦ 不要直接呼叫request. getParameter, getAttribute等方 法,改以RequestUtil包裝以取得request參數, RequestUtil內部會處理檢查與清除javascript動作 33
- 36. 白箱檢測-XSS修補建議 AntiSamy(https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project) ◦ an HTML validation tool and API ◦ 可根據policy檔案清除字串中javascript 保留乾淨HTML e.g. <div><b>'1中文'</b><script>alert('1中文');</script></div> 處理後 <div><b>'1中文'</b></div> 35
- 38. 白箱檢測-XSS修補建議 AntiSamy 預設提供的policy檔案 ◦ antisamy-tinymce-X.X.X.xml ◦ antisamy-slashdot-X.X.X.xml ◦ antisamy-ebay-X.X.X.xml ◦ antisamy-myspace-X.X.X.xml ◦ antisamy-anythinggoes-X.X.X.xml 37
- 40. 白箱檢測-XSS修補建議 ESAPI(https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API) ◦ a free, open source, web application security control library 39
- 41. 白箱檢測-XSS修補建議 40
- 43. 白箱檢測-XSS修補建議 ESAPI使用 SecurityWrapperRequest的getParameter方 法也會阻檔非法script,但不像AntiSamy 可以做到保留乾淨HTML 42
- 45. 白箱檢測-修補建議 HTTP Response Splitting(低風險弱點) ◦ 牽涉到http回應操作,如 response.setHeader,response.addCookie時可以使用 InputCheckUtil.chkCrLfInjection檢查是否有換行(n,r) 等非法字元,以避免駭客利用換行字元假造http回 應 44
- 46. 白箱檢測-修補建議 Information Leak of System Data ◦ 避免將除錯資訊直接輸出到畫面或stdout,可採將 除錯資訊輸出到日誌檔, 且日誌檔的存取受到嚴格 的管控 ◦ 不要呼叫e.printStackTrace方法改用 org.apache.commons.logging統一輸出錯誤訊息可通 過白箱檢測 45
- 47. 白箱檢測-修補建議 Log Forging 日誌偽造(低風險弱點) ◦ 對log訊息檢查換行字元,進行HTML跳脫 ◦ 使用InputCheckUtil.validateLogString以通過 白箱檢測 46
- 48. 白箱檢測-修補建議 Information Leak Through Log Files ◦ 避免在log寫入環境資訊或做好機器環境防 護避免log檔未經授權的讀取 ◦ 提供解釋日誌檔的存取受到嚴格的管控以 通過白箱檢測 47
- 55. 白箱檢測-修補建議 54
- 59. 黑箱檢測-操作說明 Acunetix Web Vulnerability Scanner 58 http://www.acunetix.com/resources/wvsmanual .pdf
- 62. 黑箱檢測-報告解讀 61
- 63. 黑箱檢測-XSS修補建議 Cross-Site Scripting ◦ 可透過以下filter檢查所有輸入 ◦ com.hyweb.filter.XssFilter 62
- 65. 黑箱檢測-修補建議 Slow HTTP DOS attack ◦ 透過對網站服務主機緩慢發出不完整的 Request指令,以佔用主機連線,耗盡目標 主機的連線資源 修補方式 ◦ 調整AP Server連線設定參數,部分硬體防 火牆也可阻擋此攻擊 64
- 66. 黑箱檢測-修補建議 Apache Tomcat examples directory vulnerabilities ◦ 駭客可利用Tomcat安裝附帶的example目錄 下程式進行session變造等攻擊 修補方式 ◦ 移除Tomcat安裝附帶的example目錄 ◦ Tomcat安裝附帶的管理工具manager目錄也 建議移除,以避免該目錄成為駭客攻擊的 目標 65
- 67. 黑箱檢測-修補建議 Application error message ◦ 錯誤頁洩漏AP Server主機相關資訊,可能 被駭客蒐集以計畫後續攻擊 修補方式 ◦ 自訂錯誤頁隱藏系統相關資訊 66
- 68. 黑箱檢測-XFS修補建議 Missing Cross-Frame Scripting Protection(CWE 352) ◦ 利用瀏覽器允許框架(frame)跨站包含其它頁面的漏洞,在主 框架的代碼中加入scirpt,監視、盜取用戶輸入 修補方式 ◦ 可透過以下filter設定X-Frame-Options Header ◦ com.hyweb.filter.XfsFilter 67
- 70. 黑箱檢測-修補建議 Unrestricted Upload of File with Dangerous Type(CWE-434) ◦ 未阻擋上傳危險類型的檔案將允許駭客透過檔案 上傳進行攻擊,如上傳jsp檔案,然後執行攻擊 http://site/uploadFolder/hacker.jsp 修補方式 ◦ 在伺服器端對上傳檔案的副檔名進行檢查 與限制 ◦ 上傳檔擺放路徑最好能跟web root目錄拆開, 以避免上傳之檔案被直接執行 69
- 71. 黑箱檢測-CSRF修補建議 Cross-Site Request Forgery (CSRF) ◦ 跨網站的偽造要求 ◦ 在使用者已經登入目標網站後,駭客利用受害者 的身分來進行請求,不但可以獲得受害者的權限, 而且在系統的相關紀錄中也很難發現可疑之處 70 圖片來源:http://yniewu.blogspot.tw/2011/01/zenphoto-csrf.html
- 73. 黑箱檢測-CSRF修補建議 修補方式 ◦ 避免使用 GET 方法傳送參數 ◦ 應使用動態亂數Token來驗證表單來源要求者 72 表單端 表單接收端 亂數產生token id與內容 放入session 並當作form參數 接收來自form的token id與 內容 並與session中資訊比對
- 74. 黑箱檢測-修補建議 Https Heartbleed漏洞 ◦ OpenSSL 2012-3-14之後推出的1.0.1版~ 1.0.1f版,以及1.0.2-beta~1.0.2-beta1等版本 有漏洞會外洩記憶體中機敏資料 修補方式 ◦ 更新到OpenSSL最新版或使用其他非採 OpenSSl的Https引擎 73
- 75. 結語 本課程介紹了 ◦ 常見網站程式弱點 ◦ 白箱檢測軟體使用方式與報告解讀 ◦ 白箱檢測修補建議 ◦ 黑箱檢測軟體使用方式與報告解讀 ◦ 黑箱檢測修補建議 74
- 76. 結語 比較項目 黑箱檢測法 白箱檢測法 人工滲透測試 自動弱點掃描 人工源碼檢測 自動源碼檢測 弱點定位精準度 普 差 佳 優 檢測完整/詳細程度 差 普 佳 優 輸入/輸出類安全檢測 普 普 佳 優 執行時安全問題檢測 優 佳 差 差 存取控管機制檢測 佳 普 差 差 邏輯性安全問題檢測 佳 普 差 差 檢測時效 差 佳 差 優 與程式開發人員之溝 通成本 差 差 佳 優 檢測誤判情形 優 普 佳 普 綜合評比 佳 普 普 優 75 http://www.amxecure.com/index.php/zh/news/49-vulnerability/60-web
- 78. Q&A 77