OWASP十大Web資安漏洞

   簡介


  • OWASP(Open Web Application Security Project,開放web軟安全計畫)是一個開放社群、非營利性組織。
  • 研議助解決Web軟安全之標準、工具與技術文件。


     十大Web資安漏洞列表


  • 跨網站的入侵字串(Cross Site Scripting,簡稱XSS,亦稱為跨站腳本攻擊)
  • 注入缺失(Injection Flaw)
  • 惡意檔案執行(Malicious File Execution)
  • 不安全的物件參考(Insecure Direct Object Reference)
  • 跨網站的偽造要求 (Cross-Site Request Forgery,簡稱CSRF)
  • 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)
  • 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)
  • 不安全的密碼儲存器 (Insecure Cryptographic Storage)
  • 不安全的通訊(Insecure Communication)
  • 疏於限制URL存取(Failure to Restrict URL Access)

 


     網頁掛馬(1/2)


  • 駭客攻擊企業組織或政府機關的網站,網頁遭到竄改,植入一段惡意連結,或者是設立惡意網站,透過各種宣傳手法,吸引民眾到站瀏覽。
  • 網站的使用者連上該網站。
  • 使用者看不到這個連結,也不必點選這個連結,只要連上網站,就會轉引自駭客預先設計好的陷阱
  • 在不知情的情況下,使用者被植入木馬程式。

 


   網頁掛馬(2/2)

 


 

步驟 1不法分子或犯罪組織發出網路釣魚郵件,用入侵的 botnet 傀儡網軍機器或


Yahoogmail 等電子郵件發送社交工程信件至特定使用者。


New :本次目標式社交工程攻擊事件寄件人來自被冒用的內部員工帳號,內文宛若上層


交辦事項,指示收件人開啟以Word PowerPoint PDF等辦公室常用軟體為格式的


附件檔。由於信件內容使用高明的社交工程巧,甚至能延續被冒用寄件者前一封信件


討論的話題,所以多數人皆不疑有它。


步驟 2收件人開啟附件之後,相關應用程式有漏洞的電腦便會被植入惡意程式下載


程式 (Downloader)


New:以前的惡意程式植入程式(dropper)常見的是執行檔,現在改成每天上班都會用到


WORDExcelAccessWinZipRARPDF等應用程式檔案。


步驟 3惡意程式下載程式 (Downloader)會不斷自網路下載新變種與自我更新,使得


傳統防禦方式備受挑戰。


步驟 4目標式社交工程攻擊者通常會安裝木馬後門程式於目標機器,便可進行鍵盤


側錄等幕後秘密行動,有心人士擁有方便的管道,可在受害電腦連線的網路上監聽傳


輸資料。


New攻擊者入侵很多機器作為惡意程式下載點,為了避免輕易被偵測,也會在各個


下載點利用JavaScript 轉址來提高偵測的難度,下載的惡意程式往往不是一隻,而是一


群,因此很難全部一次清除。


FSO(File System Object )檔案系統物件,提供用來處理資料夾及檔案的物件架構工


具。


2007-07-05 中國2007年上半年病毒疫情及互聯網安全報告

 

2008-08-08 阿碼科技非官方blog–阿碼外傳


 

2008-08-08 阿碼科技非官方blog – 阿碼外傳

 

 


2008-08-08 阿碼科技非官方blog – 阿碼外傳

 


 

2008-08-08 阿碼科技非官方blog – 阿碼外傳

 

 


使用電子郵件應有的警覺性觀念

 


  • 為何會收到這封郵件?

          為何對方會有我的郵件信箱的地址?郵件地址外流的原因?就像詐騙集團怎會有

          我的手機電話或個人資料一樣。

  • 是不是應該收到這封郵件?

     需要注意的是“郵件內容”,包含郵件主旨及信件內容,是不是跟我有關聯?內

     容是否合理?有沒有威脅利誘的字眼?有沒有詐騙的可能?。

  • 是不是有必要開啟附件或點選連結?

     真正危害的動作是開啟附件或點選連結,是這兩個動作開始讓我的電腦被植入惡意

     程式,所以在這兩個動作上務必審慎之。

基本上,有心人士堅信一件事...「總有一天釣到你」

2008-08-06 阿碼科技非官方blog – 阿碼外傳

 

分析鏈結的工具

1.HackAlert
http://hackalert.armorize.com/
2.LinkScanner
http://linkscanner.explabs.com/
3.Dr.Web
http://online.us.drweb.com/
4.Finjan
http://www.finjan.com/

作業系統 vs E-mail系統

 

作業系統若中毒 = 重灌

E-mail系統密碼被知 = 改密碼???
修改密碼無效




參考資料

http://armorize-cht.blogspot.com/2008/08/awareness-of-e-mail.html

kkmanlee 發表在 痞客邦 PIXNET 留言(0) 人氣()