NO 是具有互动式的网页才可能有类似的问题.pptVIP

* 安全性互動式網頁設計簡介 可能造成的破壞： 繞過身分登錄機制即可登錄。 竊取網在資料。 修改網站內容。 新增、刪除、消改資料表格內容。 清空甚至刪除整個資料表格。 停止資料庫系統的運作- 停止網站運作 在網站主機的作業系統中取得系統最高權限- 植入木馬程式，當作跳板主機 * 安全性互動式網頁設計簡介 攻擊步驟： 確認後端資料庫種類：資料庫種類在某些功能上與語法上有差異。 尋找程式中可能的注入點。可能為SQL語句內容之參數： 網址參數。 表單資料。 根據想達到的目的注入SQL攻擊指令。 * 安全性互動式網頁設計簡介 Injection Flaw是當程式在查詢資料庫資料時，利用改變邏輯判斷的情形來取得所需資料。 常見的攻擊手法： Bypass Authentication：於登入頁面之帳號密碼欄位，注入SQL語法以繞過驗證。 攻擊字串範例： ‘or ‘’ ‘ ‘or 1 1— ‘or 1 1/* * 安全性互動式網頁設計簡介 本來SQL語法長這樣?： Select * From Account Where username ‘[帳號]’ and password ‘[密碼 ]’ 需要帳號與密碼都對才能查詢 輸入攻擊資料後成為： Select * From Account Where username ‘admin’ and password ‘‘ or 1 1--’ “--” 表示說明，往後的指令皆被忽略 因為判斷式為TRUE，所以… * 安全性互動式網頁設計簡介 Error Based ASP + MS-SQL ：使用者在瀏覽器中看的見資料庫所產生的原始錯誤資訊，利用資料庫行別轉換產生之錯誤訊息撈取資訊。 早期常見之資料庫盜取方式 案例常見於ASP+MSSQL之組合情況下 後來大家寫程式會隱藏原始錯誤資訊 * 安全性互動式網頁設計簡介 Union Based：利用在判斷式後結合前後兩段SQL語句以撈取資料庫內容。 攻擊字串範例： id 1 order by 10-- 首先利用 order by 判斷欄位數量 id 1 union select 1,2,3,4,5-- id 1 union select 1,2,3,database ,5— id 1 union select 1,2,3,load_file ‘/etc/passwd’ ,5— * 安全性互動式網頁設計簡介 防護建議： 輸入資料檢驗： 白名單過濾：僅允許數字，或文數字。 黑名單過濾：不正常的Query。 轉換特殊字元/字串。 資料庫管理：分離應用程式中各個功能模組存取DB的權限，以免一個注入點就可取得所有資料。 限制資料庫執行城市本身的權限。 將一般用不到但功能強大的延伸程序刪除或限制其操作者身分。 * 安全性互動式網頁設計簡介 妥善的處理錯誤訊息：客製化錯誤訊息。 回覆簡潔的回應訊息。 設定固定的一般錯誤訊息。 帶有字數字眼的錯誤訊息記錄於後端Log系統 教育機構網站應用程式弱點監測平台-教學影片 * 安全性互動式網頁設計簡介 * 安全性互動式網頁設計簡介 你可能看過類似的新聞 * 安全性互動式網頁設計簡介 * 安全性互動式網頁設計簡介 你可能看過類似的新聞 * 安全性互動式網頁設計簡介 你可能瀏覽過類似的網站。 你對這些新聞熟悉嗎？ 哪些網站是不安全的 哪些網站是會受到攻擊的 是一般的HTML網頁嗎？ NO 是具有互動式的網頁才可能有類似的問題 * 安全性互動式網頁設計簡介 互動式網頁簡介 互動式網頁就是使用者可以與伺服器互動性的交談，並輸入資料去更新或新增在伺服器的資料，然後在回應到使用者端。 常見的互動式網頁有留言版、討論區及需要輸入帳號密碼的網站等。 這類網頁容易成為有心人士的填字遊戲。 * 安全性互動式網頁設計簡介 互動式網頁程式引發的問題： 癱瘓系統服務 應用系統的資料遭竊取或竄改 取得應用程式的控制權 取得應用系統所在主機的控制權 * 安全性互動式網頁設計簡介 互動式網頁程式引發問題所造成的影響： 個人-資料喪失或竄改 商家-聲譽受損或倒閉 金融系統-金融秩序 工程系統-工安事件 國防系統-國家安全 * 安全性互動式網頁設計簡介 如何避免互動式網頁程式引發的問題 從Client端？從Server端？ 回顧系統分析設計的流程 系統分析 需求定義 系統設計 系統開發/測試 系統建置 部署 系統維護 * 安全性互動式網頁設計簡介 安全性互動式網頁的設計時機 從系統設計的流程，可以思考安全性互動式網頁的設計應從何時開始。是要在系統開發/測試，或是在系統設計，還是要從系統分析時就要考慮了。 * 安全性互動式網頁設計簡介 互動式網頁執行流程 瀏覽器 找到網頁 返回HTML 互動式程式語言 處理互動式程式語言 資料庫 伺服器