歡迎轉載(註明出處)或直接轉貼網址也ok,但是請不要直接把內容摳走貼在別的地方~

沒想到這個還可以讓我寫到第二篇

前言:

繼上一次的 

網站程式開發的注意事項,關於資訊安全與修補方式....陸續補充 (ASP.Net) 之後

因為有請駭我們網站的資安公司來上課兼說明怎麼駭的

所以這篇是在補充其他要注意的地方,還有一般駭客的思維到底是什麼

 

一、駭客的種類有以下幾種

White Hat 白帽駭客:

主要針對系統安全進行研究並從事防禦修補的作業,多數從事資安工作

Black Hat 黑帽駭客:

進行犯罪的入侵,專司破壞

Gray Hat 灰帽駭客:

介於 White Hat、Black Hat 之間,亦正亦邪的概念

Script Kiddie:

不懂技術與原理,只會用現成工具進行攻擊的惡意破壞者

為人所不齒 (我自己加的)

 

二、駭客突破的方式

1.Bruteforce 暴力攻擊法

成功率 100% 但需要時間

2.Dictionary Attack 字典式攻擊法

通常手上會有一份常用密碼表,然後用程式去跑一個一個try 

3.Hybrid 混合模式

忘記顧問說了什麼

4.Rainbow Crack 彩虹表

這個就很可怕,資料表中紀錄了所有編碼過的 hash 數值

ex : 你網站雖然是用MD5編碼,但該密碼可能可以在彩虹表中找到對應的原始碼

於似乎對於高手來說,你編碼只是稍微浪費了一下他的時間而已

彩虹表說明: http://www.twwiki.com/wiki/%E5%BD%A9%E8%99%B9%E8%A1%A8

搜尋 free rainbow 也有免費 or 付費彩虹表可以下載

ex : https://www.freerainbowtables.com/

三、其他常使用網路資源

顧問也稍微介紹了幾個網站給我們參考

1. http://zone-h.org/archive/special=1

這裡每天記載了一堆被駭的網站,算是駭客的計分榜,會列出國家別跟使用的作業系統

可以上來搜一下你公司網站有沒有在裡面....

Clipboard02  

過濾.tw之後,上圖可以看到有熟悉的網址....幾乎都是政府網站居多

台中、台南市政府似乎都淪陷過

 

2. http://www.aegislab.com/phone/

這網站不是駭客會上來的,是受害者上來的 = =

雖然這網站不知道更新狀況如何,但輸入手機號碼可以查出你的資料被駭客們利用了幾次

如下圖 : 

Clipboard02  

 

3. http://pastebin.com/trends/week

這網站還蠻有名的,好像因為可以匿名貼文字的關係深受駭客們喜愛

在上面可以查到其他人分享破解的帳號 + 密碼

看到了 PSN 忍不住點進去搜尋自己的 Email  @@

擷取  

 

 4. http://www.exploit-db.com/

這網站都是駭客們提交的各式各樣系統漏洞,還真的是各式各樣系統都有

Web 尤其是 PHP,感覺中很大~ 使用PHP的人要特別小心....

Clipboard02  

 這邊有一篇對岸的舊文章,在統計 exploit-db 裡面最容易中獎的系統

http://blog.knownsec.com/2013/03/%E5%85%A8%E7%90%83%E9%BB%91%E5%AE%A2%E5%9C%A8%E5%85%B3%E6%B3%A8%E4%BB%80%E4%B9%88%E4%B9%8Bexploit-db-web%E7%AF%87/

還是 PHP 最容易被人玩

 

5. https://archive.org/

網際網路檔案館,號稱網頁的時光機,輸入網址可以找到該網站的頁面庫存檔

駭客用此來尋找改版前的漏洞 (因為可能現行網站還會存在此漏洞)

 

6. https://www.google.com

對,就是 Google,利用搜尋引擎做 Google Hacking

利用google search 可以讓駭客搜到該站台的錯誤頁面、訊息、頁面庫存檔

幾個比較常用的....

site: (搜尋domain)

intitle: (網頁title中含有)

inurl:(網址中含有)

fiiletype: (附檔名為)

cache: (頁面庫存檔)

ex:  搜尋 site:cn password filetype:inc

可以得到對岸的站台,內容中含有 password 且附檔名為 .inc 的網址

擷取  

點進去看某一篇,就看到資料庫的帳號密碼了

擷取    

Google Hacking 還可用來搜尋錯誤頁面,了解該網站的結構

ex: 搜尋 site:cn mysql_num_rows() expects parameter 1 to be resource

找對岸的網站,搜尋 php 常見的錯誤訊息頁面

擷取  

 點一則進去看,網站結構就出現了

擷取  

 

或 google 搜尋 "Index of /admin"

就會列出某些網站的目錄 

如下 : 

Clipboard02  

還有其他用法就不詳述了

 

7. http://nmap.org/

聽說是用來網路掃描與探測的,有興趣就自己看看,幫大家找了說明

http://www.gtwang.org/2014/10/nmap-command-examples-tutorials.html

 

8. http://www.oxid.it/cain.html   (Cain & Abel)

這是個可怕的工具,使用後網路可能會短暫的中斷,因為駭客可能正在模仿你的IP/Mac Address

俗稱中間人攻擊,然後從中仿照該網站送其他資料給你,其中的手法請參考底下這篇

ARP掛馬--新的區網隱形殺手

如果你網站的金流有漏洞的話 (據顧問說,台灣購物網站 70%金流都是有洞的),影響就非常大

我們就被買了一個$300塊的東西,但授權金額只有$10元,但訂單還是呈現 $300....

這軟體的說明,直接找了其他網站的說明如下,有興趣的人可以再研究

說明:

根據官方網站的說明 Cain & Abel 是針對微軟作業系統而設計的一款密碼恢復工具,但其強大的恢復功能怎已經脫離了它正常的使用方式。

其主要是透過 ARP欺騙(ARP Spoofing)的技巧,採取中間人攻擊(Man-in-the-middle attack,簡稱MITM)的方式來破解密碼。(註:部分功能需要採用暴力破解)

Cain & Abel是從oxid.it這個網站發佈的軟體。原文音譯是「該隱與亞伯」,是聖經裡亞當和夏娃兒子的名字。

用法可以參考 : 

(非教學文-1) 讓各位知道自己的LOL帳密是如何被盜的

 

9. 各網站的 robots.txt 

網站中的 robots.txt 位置都在根目錄,是網站提供給搜尋引擎看的

告訴搜尋引擎什麼可以爬什麼不能爬

但對有心人來說,他就是一個你網站架構的描述 

ex : 假設有某個賣書網站的 robots.txt 

http://www.xxxxxxxx.com.tw/robots.txt

擷取  

 就可以明確看出你網站有哪些資料夾

10. http://www.md5.com.cn/

常用字的MD5數據庫

 擷取  

 

11. http://portswigger.net/burp/

使用 Burp Suite 可繞過身分驗證,取得權限

網路上找一下人家怎麼玩的

http://www.nxadmin.com/tools/689.html

 

.....................顧問還有提到很多,先暫時列到這邊

 

三、防範方式

除了上一篇

網站程式開發的注意事項,關於資訊安全與修補方式....陸續補充 (ASP.Net)

所提到的網站開發注意事項之外,還有一些建議的事項

但所提到的不只網站開發,也包含了個人在使用網路時的一些自我防範做法

針對網站開發者而言:

1. 網站加密方式

減少使用 MD5 與 SHA-1 的加密方式,更不用講一些可以馬上反解的加密方式

MD5 直接用 rainbow crack 就可以破了,建議改用 bcrypt or PBKDF2 來加密

2. 避免被 Google Hacking 

妥善設置 robot.txt 可以避免有良心的搜尋引擎抓取你指定的內容

ex : 

User‐agent:Googlebot

Disallow:/*.mdb$

3. 避免網頁出錯時直接顯示錯誤訊息

因為錯誤訊息通常含有網站結構,或是根本直接是漏洞,應該做好例外處理

比較正確的作法 : 

擷取  

4. 盡可能使用加密連線 SSL

5. Cookie 設定使用 Secure Flag

6. 驗證導頁資訊與存取資源是合法的

    ex : http://www.test.com.tw?backurl=http://xxxxxx

 必須檢查導頁的位置是否在自己站台之下

7. 在使用較高權限的頁面,重新驗證使用者 

8. 減少使用 Get 傳遞參數,以防攻擊更快速的散步

9. 避免使用常用的目錄名稱,底下這些都是會先被掃的

 擷取  

10. 關閉不需要的帳號、頁面、服務、連接埠

11. 登入時加密、Session 嚴格控管避免暴露 (Session ID) 與 Timeout 機制

12. 在系統計算每個密碼的雜湊函數時 ex : MD5,可以額外加入一個密值

讓駭客事先計算或下載的彩虹表失靈。這個作法稱為加鹽 (salted)。

 

針對使用者而言

1. 不要使用過於簡單的密碼

因為你的密碼可能已經在別人的密碼表裡面了

ex : 

http://www.defaultpassword.com/

http://www.routerpasswords.com/

http://www.phenoelit-us.org/dpl/dpl.html

2. 另一個設定密碼的好方法,使用中文輸入的英數組合

rup wu0 uw0 fu4cp3cl3 = 今天天氣很好

字數夠長而且也很好記

3. 看到短網址不要輕易的點下去

 

 

其實資料有點多,但是我寫得有點累,所以之後有時間再繼續補充~

 

其他資料 : 

https://www.owasp.org/index.php/Main_Page  (開放網路軟體安全計畫,簡稱OWASP)

 

 

 

創作者介紹
創作者 小雕 的頭像
小雕

小雕雕的家

小雕 發表在 痞客邦 留言(2) 人氣()


留言列表 (2)

發表留言
  • 悄悄話
  • 悄悄話