close
這個題目是我下禮拜應范媽媽邀請與大學部同學講解網路安全的主題(看心情決定要不要demo 3個 zero day,讚吧,cactus一定會說我邪惡:p),在感嘆孩子的學習之外,我們也來談談生活週遭的黑暗面吧,目前網頁相關攻擊手法不外乎是SQL Injection、XSS跟phishing
SQL Injection
SQL Injection已經是一個被玩到爛掉的一個網頁漏洞,主要是因為程式設計師沒有好好過濾使用者輸入而讓使用者得以在輸入內容中安插一些SQL語法,當程式沒檢查這些輸入時,就會依照這些語法去完成惡意使用者希望程式去做的事,例如,將資料庫備分到網頁目錄下又或者是繞過使用者檢查直接登入系統,如果是遇到SQL Server還有可能直接在那台Server上面建立使用者帳號,通常會有SQL Injection的網站多半是由ASP跟JSP所寫成的,而PHP雖然也有這方面問題,但是拜magic _qoute所賜,這方面影響稍微小了一點,但是並不是說PHP就不會有SQL Injection,祇是比較少而已。
Cross-Site Scripting (XSS)
Cross-Site Scripting又常被簡稱為XSS,主要還是因為程式沒檢查使用者輸入讓使用者可以任意的輸入Javascript或者是VB script,乍看之下,Javascript 跟 VB script so what?如果你認為client端的語言無法對你造成任何傷害那你就錯了,XSS最常被用來竊取讀取網頁者的cookie資訊,什麼是cookie資訊呢?cookie通常是網站用於紀錄使用者在網站上的使用行為,舉個簡單的例子,你有看過在登入頁面下面有出現一個"記住我的帳號密碼"嗎?你會不會好奇為什麼我勾了之後,以後在這台電腦上面上這個網站時,網站就會自動幫你輸入密碼呢?為什麼網站知道你是誰?很簡單,你的帳號密碼都被存在cookie裡面了咩,所以你說偷cookie資訊有沒有用呢?當然有。
好了,在了解cookie的作用之後,那你也許會說:「大不了以後都自己打密碼!」,你以為這樣就沒事了嗎?XSS還有一種玩法叫做session hijack,簡單來說,你現在登入pixnet後,把browser關掉再打開連線到pixnet,你會發現什麼事?你會發現你還是登入的狀態,原因很簡單,Web Server是根據你連線時發給你一個session,這個session就類似你的臨時身分證字號,假如今天我知道了你的臨時身分證字號,那我就可以偽裝你告訴pixnet說,我是xxx,你覺得你相簿鎖碼有用嗎?
Phishing
Phishing又稱為網路釣魚,這東西新聞上面介紹了很多遍了,我想大家的印象都停留在那個什麼把數字"1"換成英文的"l"啦,還是把".com"換成".org",目前流行的是把.com."tw"換成."ru"等其他國家,其他透過email以及DNS等等手法非常的多,簡單來說就是網路上的詐騙集團,是目前相當流行的攻擊手法。
不過濾使用者輸入的危害
講了半天終於要進入正題了,上面講了那麼多我到底要表達的是什麼?根據我的研究調查,那個我很感冒的X名小站,雖然他具有速度慢、介面鳥以及一點都不尊重使用者等等讓我不想用它的缺點,但是,它在過濾使用者輸入的部分做的不錯,這部分我想大概要歸功於前一陣子網路上陸陸續續有人公開它的XSS漏洞有關,當你被hack怕了之後,你就會乖乖做這些事,反觀pixnet是採取完全不限制的政策,使用者可以在上面任意放上自己的javascript、XSS甚至是網頁木馬,這點我剛剛也在討論區上面發表意見了[註一],寫這篇網誌的主要目的是要闡述很多時候"方便=隨便"的觀念,在管理上面我們常常需要做這些決定,當你做了一個決策之後你就必須承擔這個決策所帶來的風險,在我的角度上來看,不禁止javascript對於某些人或許是德政,但是對更多不熟網頁設計的人來說,這是一個風險,當這群人不知道這件事的後果時,相安無事,當事情爆發後,可以想想你損失的會是什麼,也有可能是我想太多了..呵呵。
部落格上真的有漏洞嗎?
很多人也許很關心這件事,也許沒人關心,如果要我回答的話,我會跟你說有,XX小站有,pixnet?根據上面分析的結果,你說呢?(Xuite沒試過,不過聽說之前有)需要證明嗎?我還不想被偵九隊請去喝茶,這件事信者恆信囉,去問問認識我的人,就知道我說話的可信度啦....哈哈。
感想
台灣的網路基礎建設還不錯,但是整體資安觀念普遍缺乏,一般民眾網路的使用習慣差就算了,就算是專業的資訊人員也不見得就知道資訊安全到底是怎麼一回事,有一部分是因為政府根本不重視這件事(這幾年已經開始有改善了),反觀對岸,大陸官方對這些hack行為睜一隻眼閉一隻眼,無形中讓這方面的資訊在大陸蓬勃發展,這些大陸放在檯面上的東西,在台灣通通都是違法,只能在地下進行,一般的科技人想要獲的這方面的資訊就得捧著大把大把的銀子交給那些所謂資安的訓練單位,再者就是想辦法接收國外的二手資訊,在我的感覺中,許多台灣資安的教學文件都是從對岸翻過來的,假如我們資安的人員是這樣訓練出來的,我們怎麼跟對岸官方培養的網軍打?就目前自己的觀察,台灣資安人才大概呈現兩極化發展,不是很強,就是很弱,因為能夠接受到這些資訊的地方太少了,當然這也只是我的感覺,也許要等出了社會才會知道這個產業比我想像中的深,馬上就要上北部工作了,應該有機參加駭客年會,到時候就會知道我有多弱了^^。
[註一]
剛剛hidavid大給了我一點建議:
也許你應該建議站方在個人資訊安全上加緊把關還比較來的實在,否則你提這樣的建議只是治標不治本。
個人的資訊安全不是只有站方的責任,其實個人也是有自我保護的責任,看看這篇報導吧!
我能夠理解hidavide大的考量,我該說什麼呢?suck wrech? Let it be....it is not my business
SQL Injection
SQL Injection已經是一個被玩到爛掉的一個網頁漏洞,主要是因為程式設計師沒有好好過濾使用者輸入而讓使用者得以在輸入內容中安插一些SQL語法,當程式沒檢查這些輸入時,就會依照這些語法去完成惡意使用者希望程式去做的事,例如,將資料庫備分到網頁目錄下又或者是繞過使用者檢查直接登入系統,如果是遇到SQL Server還有可能直接在那台Server上面建立使用者帳號,通常會有SQL Injection的網站多半是由ASP跟JSP所寫成的,而PHP雖然也有這方面問題,但是拜magic _qoute所賜,這方面影響稍微小了一點,但是並不是說PHP就不會有SQL Injection,祇是比較少而已。
Cross-Site Scripting (XSS)
Cross-Site Scripting又常被簡稱為XSS,主要還是因為程式沒檢查使用者輸入讓使用者可以任意的輸入Javascript或者是VB script,乍看之下,Javascript 跟 VB script so what?如果你認為client端的語言無法對你造成任何傷害那你就錯了,XSS最常被用來竊取讀取網頁者的cookie資訊,什麼是cookie資訊呢?cookie通常是網站用於紀錄使用者在網站上的使用行為,舉個簡單的例子,你有看過在登入頁面下面有出現一個"記住我的帳號密碼"嗎?你會不會好奇為什麼我勾了之後,以後在這台電腦上面上這個網站時,網站就會自動幫你輸入密碼呢?為什麼網站知道你是誰?很簡單,你的帳號密碼都被存在cookie裡面了咩,所以你說偷cookie資訊有沒有用呢?當然有。
好了,在了解cookie的作用之後,那你也許會說:「大不了以後都自己打密碼!」,你以為這樣就沒事了嗎?XSS還有一種玩法叫做session hijack,簡單來說,你現在登入pixnet後,把browser關掉再打開連線到pixnet,你會發現什麼事?你會發現你還是登入的狀態,原因很簡單,Web Server是根據你連線時發給你一個session,這個session就類似你的臨時身分證字號,假如今天我知道了你的臨時身分證字號,那我就可以偽裝你告訴pixnet說,我是xxx,你覺得你相簿鎖碼有用嗎?
Phishing
Phishing又稱為網路釣魚,這東西新聞上面介紹了很多遍了,我想大家的印象都停留在那個什麼把數字"1"換成英文的"l"啦,還是把".com"換成".org",目前流行的是把.com."tw"換成."ru"等其他國家,其他透過email以及DNS等等手法非常的多,簡單來說就是網路上的詐騙集團,是目前相當流行的攻擊手法。
不過濾使用者輸入的危害
講了半天終於要進入正題了,上面講了那麼多我到底要表達的是什麼?根據我的研究調查,那個我很感冒的X名小站,雖然他具有速度慢、介面鳥以及一點都不尊重使用者等等讓我不想用它的缺點,但是,它在過濾使用者輸入的部分做的不錯,這部分我想大概要歸功於前一陣子網路上陸陸續續有人公開它的XSS漏洞有關,當你被hack怕了之後,你就會乖乖做這些事,反觀pixnet是採取完全不限制的政策,使用者可以在上面任意放上自己的javascript、XSS甚至是網頁木馬,這點我剛剛也在討論區上面發表意見了[註一],寫這篇網誌的主要目的是要闡述很多時候"方便=隨便"的觀念,在管理上面我們常常需要做這些決定,當你做了一個決策之後你就必須承擔這個決策所帶來的風險,在我的角度上來看,不禁止javascript對於某些人或許是德政,但是對更多不熟網頁設計的人來說,這是一個風險,當這群人不知道這件事的後果時,相安無事,當事情爆發後,可以想想你損失的會是什麼,也有可能是我想太多了..呵呵。
部落格上真的有漏洞嗎?
很多人也許很關心這件事,也許沒人關心,如果要我回答的話,我會跟你說有,XX小站有,pixnet?根據上面分析的結果,你說呢?(Xuite沒試過,不過聽說之前有)需要證明嗎?我還不想被偵九隊請去喝茶,這件事信者恆信囉,去問問認識我的人,就知道我說話的可信度啦....哈哈。
感想
台灣的網路基礎建設還不錯,但是整體資安觀念普遍缺乏,一般民眾網路的使用習慣差就算了,就算是專業的資訊人員也不見得就知道資訊安全到底是怎麼一回事,有一部分是因為政府根本不重視這件事(這幾年已經開始有改善了),反觀對岸,大陸官方對這些hack行為睜一隻眼閉一隻眼,無形中讓這方面的資訊在大陸蓬勃發展,這些大陸放在檯面上的東西,在台灣通通都是違法,只能在地下進行,一般的科技人想要獲的這方面的資訊就得捧著大把大把的銀子交給那些所謂資安的訓練單位,再者就是想辦法接收國外的二手資訊,在我的感覺中,許多台灣資安的教學文件都是從對岸翻過來的,假如我們資安的人員是這樣訓練出來的,我們怎麼跟對岸官方培養的網軍打?就目前自己的觀察,台灣資安人才大概呈現兩極化發展,不是很強,就是很弱,因為能夠接受到這些資訊的地方太少了,當然這也只是我的感覺,也許要等出了社會才會知道這個產業比我想像中的深,馬上就要上北部工作了,應該有機參加駭客年會,到時候就會知道我有多弱了^^。
[註一]
剛剛hidavid大給了我一點建議:
也許你應該建議站方在個人資訊安全上加緊把關還比較來的實在,否則你提這樣的建議只是治標不治本。
個人的資訊安全不是只有站方的責任,其實個人也是有自我保護的責任,看看這篇報導吧!
我能夠理解hidavide大的考量,我該說什麼呢?suck wrech? Let it be....it is not my business
全站熱搜
留言列表
IT技術 (4)