网页漏洞解析暨安全防护

网页漏洞解析暨安全防护

ID:33338332

大小:2.15 MB

页数:81页

时间:2019-02-24

网页漏洞解析暨安全防护_第1页
网页漏洞解析暨安全防护_第2页
网页漏洞解析暨安全防护_第3页
网页漏洞解析暨安全防护_第4页
网页漏洞解析暨安全防护_第5页
资源描述:

《网页漏洞解析暨安全防护》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、網頁漏洞解析暨安全防護講者:吳惠麟大綱網站系統漏洞Shellshock(CVE-2014-6271)Heartbleed(cve-2014-0160)Apachekiller(cve-2011-3192)基本安全設定暨owasp(2013)top10開源碼WAF簡介2ShellShockBash對環境變數的解析Gnubash4.3之前3ShellShock偵測http://shellshock.brandonpotter.com/envVAR='(){:;};echoBash

2、isvulnerable!'bash-c"echoBashTes4test-cgiApache預設測試檔案利用環境變數顯示HTTP相關資訊5Heartbleed洩漏記憶體內容受影響版本:OpenSSL1.0.1~1.0.1f程式撰寫錯誤,非SSL通訊協定的問題6Heartbleed建議確認openssl版本是否在受影響的版本內利用telnet測試網站所搭配的SSL版本7OpenSSL漏洞8Heartbleed建議可利用線上偵測網站或偵測程式https://filippo.io/

3、Heartbleed/http://possible.lv/tools/hb更新openssl至1.0.1g利用相關資安設備阻擋heartbleed的攻擊iptables-AINPUT-ptcp--dport443-mu32--u32"52=0x18030000:0x1803FFFF"-jDROP如果可能,更換所有的密碼9攻擊手法-(DenialofService)癱瘓攻擊程式本身的漏洞大量封包服務網路通訊的弱點型式單一拒絕服務攻擊分散式拒絕服務攻擊10D.o.S(Apa

4、cheKiller)11D.o.S(Windows)12ApacheKiller利用通訊協定的漏洞攻擊(apache2.2.20之前版本)利用表頭(Header)的range欄位攻擊正常一個Request即回覆一個頁面Range允許一個Request可回覆頁面中多個不同區段的內容,籍此消耗光主機資源無需利用太多機器即可攻擊成功https://httpd.apache.org/security/CVE-2011-3192.txt13ApacheKiller預設存取網頁方式(一個Req

5、uest,一個Response)telnet[網站伺服器所在的主機位址]80GET/index.htmlHTTP/1.114ApacheKiller以range欄位存取頁面telnet[網站伺服器所在的主機位址]80GET/index.htmlHTTP/1.1Range:bytes=100-200,201-205,206-22015Apache基本安全設定隱藏Apache的版本號及其它敏感資訊在httpd.conf中加入ServerSignatureOffServerTokensPro

6、d關閉網站列表httpd.confOptionsNone#關閉列表及symbollink16Apache基本安全設定使用Apache專用帳號httpd.confUserwwwGroupwww關閉CGI功能(如未使用CGI)刪除/cgi-bin/預設檔案(printenv,test-cgi)httpd.confOptionsNone17什麼是OWASP18什

7、麼是OWASPOWASP一個開放社群、非營利性組織,全球目前有82個分會,其主要目標是研議協助解決網路軟體安全之標準、工具與技術文件,長期致力於協助政府或企業瞭解並改善應用程式的安全性。美國聯邦貿易委員會(FTC)強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則,美國國防部亦將此守則列為最佳實務,就連國際信用卡資料安全技術PCI標準更將其列為必要元件。19OWASP201320A1:INJECTION21Google(內容搜尋):intext22Google(標頭搜尋):int

8、itle23Google(URL搜尋):inurl24Google(URL搜尋):inurl25Google(檔案類型搜尋):filetype26Google(站內搜尋):site27Googlehacking•利用google查詢,有檔案列表漏洞且內含mdb檔案的網站(intitle:indexof/mdb)•取得學校的email資訊site:nsysu.edu.twintext:*@*.nsysu.edu.tw28Googlehacking查詢phpmyadmin的setup.phpin

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。