弱點可造成的威脅包括
defacing websites
stealing credit card information
exploiting server-side scripting
exploiting buffer overflows
dns attack
dos/ddos attack
employ malicious code
弱點在WEB攻擊流程的位置
1 scanning
2 information gathering
3 testing vulnerabilities
4 planning the attack
5 launching the attack
…
vulnerabilities 包括
- OWASP top10 vulnerabilities
- cookie/session poisoning
- parameter/form tampering
- buffer overflow
- directory travesal/forceful browsing
- cryptographic interception
- cookie snooping
- authentication hijacking
- log tampering
- attack obfuscation
- web services attacks
…
cookie/session poisoning
allows an attacker to inject the malicious content,modify the user’s on-line experience,and obtain the unauthorized information
駭客透過修改 Cookie 或 Session 中數值,輾轉取得他人權限或機密資料
客戶機密資料外洩、密碼遭竄改,並可透過較高權限用戶進行其他攻擊行為
countermeasures
1.加密cookie
2.implement cookie’s timeout
3.cookie’s需綁ip
…
cookie snooping
因 Cookie 常以簡單加密儲存於使用者端,駭客可透過破解其加密取得個人機密資訊
個人資訊遭竊取,任意刪除或變更使用者權限,並進行不合法交易
ps:
一般cookie編碼並非加密,會使用簡單的base64或rat13,要解回來十分容易
countermeasure
1.加密cookie
2.cookie綁ip
3.使用ssl
…
parameter/form tampering
a simple form of attack aimed directly at the application’s business logic
takes advantage of the hidden fields that work as the only security measure in some application
駭客經由 Parameter 或 Form 輸入之參數變更,經由非正常方式取得資訊
客戶機密資料外洩、密碼遭竄改,並可取得更高權限之使用者帳戶
countermeasures
field validity checking
…
authentication hijacking
駭客可經由不安全的憑證管理,取得合法使用者的權限
使用者權限遭竊取,任意變更刪除使用者資訊或密碼,並取得非法服務內容
countermeasure
1.使用secure channel
2.使用ssl
…
buffer overflow
the corrupt execution stack of a web application
以應用程式設計時之疏忽,使其出現緩衝區溢位錯誤,並同時執行非法程式
可於主機端直接建立最高管理權限,並植入間諜程式,進行擴散攻擊行為
countermeasure
1.validate input length in forms
2.using stackguard or stackshield
…
attack obfuscation
將原本的攻擊使用url-encoding,unicode或utf-8編碼,或切塊在做其他改變特徵之類的動作…等,以避免被偵測到
駭客將攻擊的程式碼經偽裝傳送至應用程式端,以進行各種攻擊行為
可於系統上植入間諜程式,回傳各種機密資訊,並透過內部網路攻擊其他主機系統
countermeasures
thoroughly inspect all traffic
block or translate unicode,utf8,url-encoding to detect attacks
…
log tampering
駭客透過變更連結記錄,誘使系統自動刪除或變更入侵的痕跡
連結記錄之變更,使系統管理員無法查詢或追蹤駭客攻擊的紀錄,更無法進行蒐證
attacker 攻擊完後,會修改或刪除log,或大量塞資料給log,導致管理者無法正常分析log
countermeasure
使用數位簽章
…
web services attacks
駭客利用各種已知服務弱點進行攻擊,以取得管理權限或進行資料變更
藉以取得管理權限或植入非法程式,竊取本機資訊,並攻擊其餘應用程式伺服器
countermeasures
shutdown unnecessary services
………………………………………..
弱點檢測tool:burp suite
功能:
含多種網路安全工具
可找出網站內所有連線
有網站弱點掃描
含網站攻擊功能
可攔截http request並更改
常見的有以下
burp:positioning palyload
burp proxy:intercepting http/s traffic,可看曾經連過那邊
burpsuit:
其他檢測tool有
instant source:edit web page code tool
wget:一次檢查多個網頁很有效率
websleuth:看web page結構
blackwidow: 看web結構做分析
sitescope:看現在網路狀況
wsdigger:web services test,測試sql injection,xss
cookiedigger:比對cookie
ssl digger:分析ssl強度
windowbomb:hacking tool,視窗炸彈
curl:hacking tool,a multi-protocol transfer library
相關防護與掃描tool-OWASP提供
webgoat:可幫助學習web vulnerability
webscarab:可截取一些資訊,可幫助學習
zap attack proxy:含scan,intercepting proxy,spider,…等,類似paros proxy
相關防護與掃描tool有
paros proxy:可截取並修改網頁內容
dotdefender:web application firewall
acunetix web scanner:web vulnerability scanner
appscan:web application scanner,made by ibm
accessdiver:test tool
falcove web vulnerability scanner:
netbrute:可scan多主機,smb
emsa web monitor:看web連線狀態
keepni:看網頁現在狀況
watchfire appscan:made by ibm
webwatchbot:monitor tool
ratproxy:audit tool
mapper
refer
http://mmdays.com/2013/12/11/owasp_top_10/
上課講義:面對企業Web化趨勢,如何蒙其利,避其害