网页漏洞解析暨安全防护

《网页漏洞解析暨安全防护》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、網頁漏洞解析暨安全防護講者:吳惠麟大綱網站系統漏洞Shellshock(CVE-2014-6271)Heartbleed(cve-2014-0160)Apachekiller(cve-2011-3192)基本安全設定暨owasp(2013)top10開源碼WAF簡介2ShellShockBash對環境變數的解析Gnubash4.3之前3ShellShock偵測http://shellshock.brandonpotter.com/envVAR='(){:;};echoBashisvulnerable!'bash-c"echoBashTes4test-cgiApach

2、e預設測試檔案利用環境變數顯示HTTP相關資訊5Heartbleed洩漏記憶體內容受影響版本:OpenSSL1.0.1~1.0.1f程式撰寫錯誤,非SSL通訊協定的問題6Heartbleed建議確認openssl版本是否在受影響的版本內利用telnet測試網站所搭配的SSL版本7OpenSSL漏洞8Heartbleed建議可利用線上偵測網站或偵測程式https://filippo.io/Heartbleed/http://possible.lv/tools/hb更新openssl至1.0.1g利用相關資安設備阻擋heartbleed的攻擊iptables-AINP

3、UT-ptcp--dport443-mu32--u32"52=0x18030000:0x1803FFFF"-jDROP如果可能，更換所有的密碼9攻擊手法-(DenialofService)癱瘓攻擊程式本身的漏洞大量封包服務網路通訊的弱點型式單一拒絕服務攻擊分散式拒絕服務攻擊10D.o.S(ApacheKiller)11D.o.S(Windows)12ApacheKiller利用通訊協定的漏洞攻擊(apache2.2.20之前版本)利用表頭(Header)的range欄位攻擊正常一個Request即回覆一個頁面Range允許一個Request可回覆頁面中多個不同區段

4、的內容，籍此消耗光主機資源無需利用太多機器即可攻擊成功https://httpd.apache.org/security/CVE-2011-3192.txt13ApacheKiller預設存取網頁方式（一個Request,一個Response）telnet[網站伺服器所在的主機位址]80GET/index.htmlHTTP/1.114ApacheKiller以range欄位存取頁面telnet[網站伺服器所在的主機位址]80GET/index.htmlHTTP/1.1Range:bytes=100-200,201-205,206-22015Apache基本安全設定隱藏Apa

5、che的版本號及其它敏感資訊在httpd.conf中加入ServerSignatureOffServerTokensProd關閉網站列表httpd.confOptionsNone#關閉列表及symbollink16Apache基本安全設定使用Apache專用帳號httpd.confUserwwwGroupwww關閉CGI功能(如未使用CGI)刪除/cgi-bin/預設檔案(printenv,test-cgi)httpd.confOptionsNone

6、y>17什麼是OWASP18什麼是OWASPOWASP一個開放社群、非營利性組織，全球目前有82個分會，其主要目標是研議協助解決網路軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善應用程式的安全性。美國聯邦貿易委員會（FTC）強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則，美國國防部亦將此守則列為最佳實務，就連國際信用卡資料安全技術PCI標準更將其列為必要元件。19OWASP201320A1:INJECTION21Google(內容搜尋):intext22Google(標頭搜尋):intitle23Google(URL搜尋):inurl24Googl

7、e(URL搜尋):inurl25Google(檔案類型搜尋):filetype26Google(站內搜尋):site27Googlehacking•利用google查詢,有檔案列表漏洞且內含mdb檔案的網站(intitle:indexof/mdb)•取得學校的email資訊site:nsysu.edu.twintext:*@*.nsysu.edu.tw28Googlehacking查詢phpmyadmin的setup.phpin