web應用系統之安全.ppt-台灣首府大學.pptVIP

Web應用程式之安全 台灣首府大學 休閒資訊管理學系 專題製作課程輔導系列 何日新 認識網站結構 Web 系統包括以下部分： 瀏覽器 (browsers)：例如 Internet Explorer 或 FireFox 等 通訊協定 (transport protocols)：Hypertext Transfer Protocol (HTTP) 或有加密功能之 Secure Socket Layer (SSL) 網站伺服器 (web servers)：最常見的為以微軟為主的 Internet Information Server (IIS) 和開放原始碼的 Apache 網站應用 (applications)：有 Hypertext Preprocessor (PHP) 與 Active Server Page (ASP) 較常見。 資料庫 通訊協定 網站應用 瀏覽器 網站伺服器 網站分析與架構設計階段 定義目標 需求分析 功能 安全 定義所要達成的安全目標 確保資料不被竊取；確保網站資料不被篡改 設計與實施 使用哪種語言(實作語言的安全考量) 採用哪種Web系統(Web軟體安全考量) 網站程式實作階段 撰寫安全的程式碼(網站應用程式) 應用層 網頁應用程式安全準則 系統層 網站伺服軟體安全設定 網站伺服軟體修補與更新 網站系統測試階段- 安全考量 Web應用程式 SQL Injection Web應用程式安全測試 網頁伺服器 網頁伺服器配置之安全測試 網頁伺服器應用程式之弱點測試 網站分發部署、運作與維護階段 網頁及Web應用程式 測試可能的安全弱點 修正可能的安全弱點，如SQL Injection、新型態的攻擊...等 備援機制 網頁伺服器 保持應用程式的更新 檢視與分析日誌紀錄 備援機制 資料隱碼攻擊(SQL Injection) 部分網站程式將使用者輸入的資料直接交給資料庫處理，而未事先過濾可能有害的字元。讓駭客有機會在輸入的資料中夾帶 SQL 語言，進行資料隱碼攻擊 (SQL injection)。 此攻擊法並非透過病毒等手段，而是經由標準程序操作；因此為防火牆或防毒軟體所無法防範。唯有加強安全控管並建立良好的程式開發習慣。 實作練習 SQL= select * from password where userid= 李小明’- - and passwd= 為何造成資料隱碼攻擊 攻擊成立的前題 資料庫的權限過高 輸入欄位沒有針對特殊符號進行過濾 查詢欄位沒有限制長度及內容 資料隱碼攻擊防護 輸入驗證(Input Validation) 過濾所有可能的字串(如只能輸入數字) 限制使用者輸入(如不允許輸入”select”, “insert”,”shutdown”,”delete”,”drop”,”- -”,” ” 將檢查放在Server端，而非Client端 限制應用程式存取資料庫的權限 網站不以系統管理的帳號(sa)連結資料庫 每個資料庫設定一組個別的帳密限制對該資料庫有讀寫權限 跨網站攻擊(Cross-Site Script, XSS) XSS 是駭客針對網站應用程式漏洞之攻擊手法，將 HTML 或Script插入網頁中，造成其他人看網頁時受到影響。 例如某位惡意的使用者，在一個網站填寫個人資料頁面時包含了以下這段文字：scriptalert(/This is a pop!/) /script。當別的使用者瀏覽此人的個人資料，就有一個討厭的視窗彈出。 被插入的也可能是有害的 Script，例如會盜取cookies或將受害者引導到另一個網站等。 XSS攻擊的存在形態 XSS攻擊1 ‐外嵌script 不會留下任何資料於網頁伺服器 XSS攻擊2 ‐內嵌script 攻擊的script語法以任何形式存在於網頁伺服器 實作練習 跨網站攻擊防護 伺服器端的解決方案 過濾(Filter) 參數輸入前過濾惡意字串(限制字串內容) 參數輸出前過濾惡意字串(取代輸出惡意字串) 例如scriptxxx/script就將其取代為空白 編碼(Encoding) 將惡意字串轉成無法在瀏覽器中執行的HTML編碼 客戶器端的解決方案 與網站的信任關係 IE根據所選擇信任區域，設定不同的執行Scripting條件(設定瀏覽之網站安全性)