OWASP(Open Web Application Security Project )心得.ppt

1,OWASP心得,許家瑞,2,大網,簡介十大Web資安漏洞列表網站掛馬修改密碼無效結論參考,3,簡介,OWASP(Open Web Application Security Project,開放web軟安全計畫)是一個開放社群、非營利性組織。研議助解決Web軟安全之標準、工具與技術文件。,4,十大Web資安漏洞列表,跨網站的入侵字串(Cross Site Scripting，簡稱XSS，亦稱為跨站腳本攻擊)注入缺失(Injection Flaw)惡意檔案執行(Malicious File Execution)不安全的物件參考(Insecure Direct Object Reference)跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF)資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)遭破壞的鑑別與連線管理(Broken Authentication and Session Management)不安全的密碼儲存器 (Insecure Cryptographic Storage)不安全的通訊(Insecure Communication)疏於限制URL存取(Failure to Restrict URL Access),5,網頁掛馬(1/2),駭客攻擊企業組織或政府機關的網站，網頁遭到竄改，植入一段惡意連結，或者是設立惡意網站，透過各種宣傳手法，吸引民眾到站瀏覽。網站的使用者連上該網站。 使用者看不到這個連結，也不必點選這個連結，只要連上網站，就會轉引自駭客預先設計好的陷阱。 在不知情的情況下，使用者被植入木馬程式。,6,網頁掛馬(2/2),7,2007-07-05 中國2007年上半年病毒疫情及互聯網安全報告,8,2008-08-08 阿碼科技非官方blog 阿碼外傳,9,2008-08-08 阿碼科技非官方blog 阿碼外傳,10,回避偵測技巧,2008-08-08 阿碼科技非官方blog 阿碼外傳,11,2008-08-08 阿瑪科技非官方blog 阿瑪外傳,12,使用電子郵件應有的警覺性觀念,為何會收到這封郵件？ 為何對方會有我的郵件信箱的地址？郵件地址外流的原因？就像詐騙集團怎會有我的手機電話或個人資料一樣。是不是應該收到這封郵件？ 需要注意的是“郵件內容”，包含郵件主旨及信件內容，是不是跟我有關聯？內容是否合理？有沒有威脅利誘的字眼？有沒有詐騙的可能？。是不是有必要開啟附件或點選連結？真正危害的動作是開啟附件或點選連結，是這兩個動作開始讓我的電腦被植入惡意程式，所以在這兩個動作上務必審慎之。,基本上，有心人士堅信一件事.總有一天釣到你,13,2008-08-06 阿碼科技非官方blog 阿碼外傳,14,分析鏈結的工具,1.HackAlerthttp:/hackalert.armorize.com/2.LinkScannerhttp:/linkscanner.explabs.com/3.Dr.Webhttp:/online.us.drweb.com/ 4.Finjanhttp:/www.finjan.com/,15,作業系統 vs E-mail系統,作業系統若中毒 = 重灌E-mail系統密碼被知 = 改密碼,？ ？,16,修改密碼無效,17,參考資料,http:/armorize-cht.blogspot.com/2008/08/cnn.htmlhttp:/armorize-cht.blogspot.com/2008/08/blog-post_06.htmlhttp:/armorize-cht.blogspot.com/2008/08/awareness-of-e-mail.html,