PowerPoint 簡報

資訊安全 從入門到差點入獄 1 虎虎 / 劉家如

2 活動共筆 :https://goo.gl/hwwvsh 資訊安全 從入門到差點入獄 開發人員與軟體安全資安. 生活無處不在從工程師到資安顧問問答 x 總結 x 工商時間

虎虎 敦陽科技資安專業服務處資安顧問 HITCON GIRLS 惡意程式分析組 Web PT 組 金融/ 電信 / 科技 / 製造單位原始碼檢測專案 金融/ 電信 / 教育 / 政府單位弱點掃瞄專案 7 年程式開發經驗 & 2 年資安社群經驗 2017 it 邦幫忙鐵人賽資安 x 系統 x 絕對領域 3 ViolinTiger@gmail.com

個人聲明 此次活動內容僅用於瞭解攻擊手法以利進行防禦部署及驗證系統弱點若有任何學員用於進行非法行為一切行為與本人無關由學員自行負責 4

刑法防駭條款 第三十六章妨害電腦使用罪第 358 條 - 入侵電腦或其相關設備罪第 359 條 - 破壞電磁紀錄罪第 360 條 - 干擾電腦或其相關設備罪第 361 條 - 對公務機關, 加重其刑至 1/2 5 第 362 條 - 製作犯罪電腦程式罪

開發人員與軟體安全 6 活動共筆 :https://goo.gl/hwwvsh 6

商業邏輯 : 金額不應為負數 7 (1) 系統分析師規格沒有定義明確 (2) 系統應該在後端增加金額檢核點 (3) 建議做人工原始碼檢核 滲透測試

商業邏輯 : 抽不到的 iphone (1) 建議函式加密由後端處理 8 (2) 第三方單位測試後再正式上線

9 常見程式弱點 (!)

SQL Injection 漏洞資料造成數億個資外洩 10 資料來源 : 科技新報 2016/03/04 資安新聞

機敏暴露 : 沒有篩選條件的結果 (1) 建議做 Code Review 11 (2) 第三方滲透測試後再正式上線

輸入值驗證 :SQL Injection Web 應用程式未檢查使用者的輸入參數, 直接將其傳入資料庫執行 SQL Error Based ( ASP + MSSQL ) Union / Blind / Update Based ( ALL ) Stack Query ( MSSQL ) Extended Procedure ( MSSQL Oracle ) 造成危害 12 繞過身份驗證任意查詢 / 新增 / 修改 / 刪除資料庫內容資料庫伺服器遭入侵

Web 攻擊範例 -SQL Injection www.demo.com.tw Is 'admin' and '' or 1=1-- true? Is 'doug' and 'doug123' true? TRUE TRUE 資料庫 www.demo.com.tw 登入成功 網站 13 ` http://www.demo.com.tw/login.jsp 正常人該作的壞人會作的

14 利用錯誤訊息偷系統資訊

SQL Injection 實作驗證 15 http://testasp.vulnweb.com/login.asp

修補建議 輸入資料檢查. 白名單檢驗 ( 格式 長度限制 合法字元 正規化 ) 參數化 (Prepared Statement) 資料庫連線管理. 使用不同權限帳號 網頁防火牆 (Web Application Firewall) 16

17 XSS 漏洞造成病毒感染

XSS 漏洞導致用戶資料外洩 18 資料來源 : 科技新報 2016/03/04 資安新聞

Cross Site Scripting (XXS) 網頁允許瀏覽者輸入資料時, 攻擊者可藉此方式植入網頁腳本攻擊程式語法, 導致其他用戶連線時被竊取機密資訊, 或讓攻擊者藉由此導向假造惡意連結欺騙瀏覽者 "><script>alert("xss")</script><" 19

Cross Site Scripting (XXS) 範例 <script>location.href='http://www.google.com'</script> 20

修補建議 輸入資料檢查. 白名單檢驗 ( 格式 長度限制 合法字元 正規化 ) 網頁防火牆 (Web Application Firewall) 線上工具驗證 [CSP]. https://csp-evaluator.withgoogle.com/ 21

網站資源的修補參考 HPE Fortify & Acunetix: 22 https://vulncat.hpefod.com/zh-tw/weakness https://www.acunetix.com/vulnerabilities/web/

23 常見標準弱點規範

OWASP Open Web Application Security Project https://www.owasp.org 受到網站開發者和資安專家的高度重視 大部份的網頁檢測工具都將 OWASP TOP 10 列為基本檢測項目 24

OWASP 2013 年報告之十大網站安全威脅 Injection Flaw( 注入 ) 竊取及修改網站資料庫, 或控制網站作業系統 Broken Authentication and Session Management ( 認證失效 ) 身份驗證功能被破解 Cross-Site Scripting( 跨站腳本攻擊 ) 竊取客戶的 Cookie 或 Session 登入資訊 Insecure Direct Object Reference( 物件參照 ) 網站應用程式允許攻擊者存取檔案或重要資料 Security Misconfiguration( 網站安全設定不當 ) 25 目錄檔案權限設定不當 網站組態設定不當

OWASP 2013 年報告之十大網站安全威脅 Sensitive Data Exposure( 機敏資料外洩 ) 敏感性資料未被加密儲存與傳送 不當置放於網際網路上 Missing Function Level Access Control ( 未限制功能面的存取權限 ) 管理用網頁未限制存取 水平權限跳說 垂直權限跳說 Cross-Site Request Forgery( 跨站偽冒請求 ) 使客戶被偽冒而洩露其他網站上的個人資料 Using Known Vulnerable Components( 使用不安全的元件 ) 使用未經安全測試的公用函式庫或套件 Unvalidated Redirects and Forwards( 未驗證網頁重新導向 ) 26 任意將網頁導至惡意網站

PCI-DSS Payment Card Industry Data Security Standard https://www.pcisecuritystandards.org 支付卡產業資料安全標準 五家國際支付卡品牌 (VISA MasterCard JCB AMEX Discover) 支付卡產業保障持卡人資料安全 所共同建置的全球統一規範 27

28 版本更新 (!)

版本更新偷偷塞東西 (1) 找可靠的委外開發廠商 (2) 在約定的時間內做完該做的事情 (3) 先在測試環境做驗收後再正式上線 29

30 不更新 (!)

31 不更新一樣有風險

32 搜尋引擎入侵 (Google Hacking)

常用搜尋關鍵字 指定類型 (filetype: xls) 暫存檔 / 暫存頁面 ( cache: URL) 網域或子網域 (site:url) 網頁標題 (intitle:) 列出相關頁面 ( related:url ) 33 相關資訊 (info:)

Google Hacking DataBase 設定 robot.txt 以避免在搜尋引擎 34 被搜尋出來

等等 說好的差點入獄呢 (?) 35

開發人員最喜歡 嘗試挑戰新架構 36

37 台哥大 M+ APP 違反個資法

開發人員最喜歡 驗證網站的弱點 38

驗證網站安全性 vs 開發者模式 (1) 驗證程式不要寫在前端 (2) 後端增加驗證程式檢核點 39

40 那個 剛剛是貓咪爬上鍵盤了

41

42 先說剛剛那些都是我朋友

所以不想被抓走 又想驗證安全性 43

44 漏洞通報平台 : VulReport

45 漏洞通報平台 : HITCON ZeroDay

46 另外 有些網站就會加上宣告

鐵路法上路 五年以下有期徒刑或 300 萬罰金 47

48 軟體開發生命週期

軟體開發生命週期 (SDLC) 安全需求分析 Security Requirements 安全威脅分析 Security Risk Analysis 安全設計 Security Design 程式安全教育訓練 Secure Coding 程式碼安全檢查 Code Review 主機弱點掃描網站弱點掃瞄滲透測試 Dynamic Testing 網站防火牆資安事件鑑識 Continuous Defense & Monitoring 需求發展設計開發 / 測試建置維運 49

白箱測試 原始碼檢測 (Code Review) 檢測速度快 效率高, 精準性高 分析所有可能的 程式進入點 追蹤所有可能的 程式執行路徑 找出所有可能的 危險動作 50

黑箱測試 弱點掃瞄 Vulnerability Assessment (VA) 滲透測試 Penetration Test (PT) 執行 有效 的攻擊手法 模擬攻擊行為會影響主機環境資源 攻擊行為造成無效資料 51

OverTheWire 練習網址 : http://overthewire.org/wargames/ natas/ 52

53 Level 0

54 Level 0

55 Level 0 Level 1

56 Level 1 Level 2

57 Level 2 Level 3

58 Level 3 Level 4

59 Level 4 Level 5

Capture The Flag 解題型 Jeopardy 主辦單位出題, 參賽者解題 對打攻防型 Attack & Defense 多組隊伍模擬環境的漏洞攻防實境競賽 60

DCTF CTF 2017 61 下一個 Taiwan No.1!!!!!

精美的架構往往伴隨著 精美的帳單 62

省老闆的荷包 他不一定會感謝你 63

傷害老闆的荷包 他可能會傷害你 64

資安事件發生之後 老闆的荷包跟商譽 都會有點痛痛的 65

所以開發人員 為了保護自己 一定要有資安意識 66

應用程式安全問題造成的成本上昇 67 需求分析需求設計開發測試環境建置系統維運

68 網頁應用程式防火牆 (WAF)

網站應用程式安全問題類別 DDoS 商業邏輯 69 程式運作邏輯 系統流程漏洞 資源控制 網頁爬蒐 資訊洩露 錯誤訊息 身份驗證 身份權限 用戶欺騙 輸入值驗證 登入階段 & 身份驗證 資料驗證 ( SQL Injection & 跨站腳本攻擊 ) 繞過資安設備 ( 網頁防火牆 & 迴避資安函式庫 ) 資訊外洩

WAF 能解決的安全問題類別 DDoS 商業邏輯 70 程式運作邏輯 系統流程漏洞 資源控制 網頁爬蒐 資訊洩露 錯誤訊息 身份驗證 身份權限 用戶欺騙 輸入值驗證 登入階段 & 身份驗證 資料驗證 ( SQL Injection & 跨站腳本攻擊 ) 繞過資安設備 ( 網頁防火牆 & 迴避資安函式庫 ) 資訊外洩

WAF 運作機制 雙向保護 防禦兩大類別 : 輸入值驗證 & 資源控制 Internet/Intranet Protected AP 用戶請求瀏覽網頁 用戶收到伺服器回應 網站回應請求內容 網站收到用戶請求 WAF 安全轉發 回應內容防護處理 71 檢查要求是否正常 檢查輸入參數正確性 安全轉發

72 緊急事故應變處理 (IR)

為什麼 資安事件還是一直發生? 73

因為一直有弱點 加上新的攻擊手法 74

情資 收集 開始 滲透 植入 後門 占領 主機 定期 排程 刪除 記錄 75

完美的防禦環境 & 即時更新新知 & 防護好習慣 76

77 活動共筆 :https://goo.gl/hwwvsh 問答時間 & 休息十分鐘

78 歡迎回來

79 提醒大家離座隨手登出電腦

80

81 活動共筆 :https://goo.gl/hwwvsh 資安. 生活無處不在

以下內容純屬虛構 如有雷同純屬巧合 82

尋找關鍵字 虎虎 敦陽科技 HITCON GIRLS 資訊安全從入門到差點入獄 83

84 社群網站

85 社群網站的粉絲團曝光度

86 隱私的權限設定

87 應用程式的存取權限

88 社交工程

社交工程 社交工程是利用人性的弱點進行詐騙, 是一種非 全面 技術性的資訊安全攻擊方式, 藉由人際關係的互動進行犯罪行為 89

90 取得手機號碼之後偽造訊息詐騙

91 偽裝的更新程式

夾帶檔案 / 鍵結的提醒信

防禦方式 線上分析 沙箱測試 逆向工程 https://www.virustotal.com/zh-tw/

水坑式攻擊

水坑式攻擊 指駭客先觀察攻擊目標習慣瀏覽哪些網站 再去入侵那些網站並植入惡意程式

密碼好猜

密碼外洩了嗎? https://haveibeenpwned.com/

建議使用兩步驟驗證

等等 其實也不一定要猜 因為可能沒有密碼 & 原始密碼 99

今天的我沒有隱私 ~ 100 https://www.insecam.org/

我的密碼沒加密 101 https://www.facebook.com/plainpass/

102 無人機應用

103 無人機偷拍

104

105 視訊攝影機

106 祖克柏與他的電腦

偷偷開啟攝影機的驗證網站 https://clickclickclick.click 107

驗證結果

109 無線網路的連線風險

110 加密的 WiFi 也有被破解的可能

中間人攻擊 (Man-In-The-Middle) 111

112 中間人攻擊示意圖

無線網路連線風險 Android: Fing Network Tools ios: Fing App 113

114 以 Fing App 為例

115 未登出的電腦螢幕

116 好心同事幫你換勒索軟體的桌面哦

取得密碼的惡意行為 117 Chrome://settings/passwords

118 活動共筆 :https://goo.gl/hwwvsh 從工程師到資安顧問

加州橘郡人 (Orange County) 119

120 走出舒適圈 & 找尋新樂趣

網路社群資源 活動平台 社群活動 線上課程 121

HITCON ( Hacks In Taiwan Conference ) 台灣駭客年會 Security or Nothing 122

123 低功率藍芽與物聯網產品的安全

藍芽裝置風險 124 Android: nrf Master Control Panel Nordic nrf App ios: LightBlue

藍牙 vs WiFi 藍牙 WiFi 低功耗 小體積 低成本 短距離數據傳輸 少連接裝置數目 適合智慧家居裝置 高頻寬 長距離 多連接裝置數目 大範圍的數據傳輸和訊號覆蓋 適合數據流量需求大的裝置 ( 電腦 / 手機 / 平版 ) 125

126 以 LightBlue App 為例

HITCON GIRLS 127 我們是一群以女性為主的探險隊, 正努力探索資訊安全這個世界!

讀書會組別 CTF Web PT 惡意程式分析 Android PT 網路安全 128

2017 徵求新成員中!!! 129 3/4 12:00-3/31 22:00 報名表單 :https://goo.gl/hdk7fs 報告表單 :

130 目前只收女生哦

131 ( The Dungeons of Hackers )

132 黑魔法防禦術基礎技能

TDOH-PIPE 資安交流讀書會 本期主題 : 你逆! 遊戲逆向工程之旅 - 塔西 133

資安交流讀書會 本期內容 : 黑魔法防禦術 與 業師諮詢 134

135 沒有提供中餐便當

因為我們提供 <<< 六小時的 Buffet >>> 136

137

台灣資訊安全聯合發展協會 (ISDA) 138 http://www.isda.org.tw/

期待下回各位的分享 一起造福社會 :) 139

140 資安證照

相關資安證照 資安技術 : 道德駭客認證 (CEH) 電腦犯罪鑑識員 (CHFI) 資訊安全技術專業認證 (CISSP) 國際電腦稽核師認證 (CISA) 141 稽核管理 : 國際資訊安全管理師認證 (CISM) 資安主導稽核員訓練 (BS7799/ISO27001) Lead Auditor Course

142 工商時間

143 HITCON 周邊商品

2017 徵求新成員中!!! 144 3/4 12:00-3/31 22:00 報名表單 :https://goo.gl/hdk7fs 報告表單 :

職涯顧問公司 145 Email:beth@twhappyrun.com

敦陽科技資安團隊 資安專業服務處郭俊良 Gavin Kuo Gavin.kuo@Sti.com.tw 146

資安服務 技術研究 資安產品 敦陽科技資訊安全專業領域 能量提升 提供專業資安服務及解決方案 攻擊週期 Attack Time-Line 弱點管理即時阻絕案件處置 技術研究 : 最新資安弱點與危害行為及解決方案之研究 CISSP 資訊安全系統專家認證 (4) CERT/CC 緊急應變專業證照 (2) CEH 道德駭客認證 (5) CEI 道德駭客講師認證 (1) CHFI 電腦犯罪鑑識員證照 (1) CSSLP 軟體開發生命週期安全認證 (1) CISM 國際資訊安全經理人 (2) ISO27001 Lead Auditor Course (4) 147 團隊專業能力 服務與解決方案 能量提升 : 提供專業教育訓練, 資安通識與管理課程 資安攻擊技術與防禦等課程 弱點管理 : 提供弱點掃瞄評估服務 滲透測試服務 程式源碼檢測服務等安全檢測 即時阻絕 : 提供解決方案規劃建置, 如次世代防火牆 網頁應用程式防火牆 網路存取控管系統 進階持續性威脅 (APT) 防護系統 資料庫稽核管理系統 資訊安全監控分析管理系統等 案件處置 : 提供緊急應變服務進行事故調查 惡意程式排除

148 敦陽科技產品與專業服務的整合 Hacking Skill vs Policy tuning 安全事件分析能力 洞悉事件源頭 找出潛藏風險 增進設備效能 資訊安全服務搭配 VA ( 系統弱點掃瞄評估服務 ) PT ( 滲透測試服務 ) Code Review( 程式源碼檢測服務 ) IRS ( 資安事故調查服務 ) Training ( 教育訓練服務 )

149 活動共筆 :https://goo.gl/hwwvsh 問答時間

謝謝大家 :) 150 虎虎 / 劉家如