应用系统防御术.ppt

應用系統防禦術 曹祖聖 台灣微軟資深講師 jimycao@ .tw MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT, MVP 大綱 緩衝區溢位 (buffer overruns) SQL 指令隱碼 (SQL injection) 跨網站程式 (cross-site scripting, XSS) 阻斷攻擊 (denial of service, DOS) 單鍵攻擊 (one-click attack) 偽裝安全性警告畫面 其它攻擊方式 大綱 緩衝區溢位 (buffer overruns) SQL 指令隱碼 (SQL injection) 跨網站程式 (cross-site scripting, XSS) 阻斷攻擊 (denial of service, DOS) 單鍵攻擊 (one-click attack) 偽裝安全性警告畫面 其它攻擊方式 緩衝區溢位 (buffer overruns) 對於不合格式的資料處理不當所造成 攻擊者傳送超過緩衝區大小且包含惡意程式碼的訊息 訊息中的惡意程式碼剛好覆蓋掉原本要執行的程式碼 緩衝區溢位 大綱 緩衝區溢位 (buffer overruns) SQL 指令隱碼 (SQL injection) 跨網站程式 (cross-site scripting, XSS) 阻斷攻擊 (denial of service, DOS) 單鍵攻擊 (one-click attack) 偽裝安全性警告畫面 其它攻擊方式 什麼是 SQL 指令隱碼 ? 什麼是 SQL 指令隱碼 ? 在應用程式所提供的介面上輸入精心設計的文字資料，以改變程式原本預期要執行的 SQL 語法 透過 SQL 指令 隱碼，可以 … 執行多個 SQL 語法 取得資料庫中的內容 跳過身份驗證機制 呼叫內建的預存程序 SQL 指令隱碼範例 如果 ID 這個變數的值是直接取自表單上的文字方塊，那麼使用者可以輸入: ALFKI1001 ALFKI1001 or 1=1 -- ALFKI1001; DROP TABLE OrderDetail -- ALFKI1001; exec xp_cmdshell(fdisk.exe) -- 防範 SQL 指令隱碼攻擊 不要使用動態 SQL 語法 在預存程序或 ADO 中使用參數 不要在預存程序中使用 EXECUTE(‘………..’) 檢查所有的使用者輸入 只放行符合規則的輸入資料 使用最低的權限來連接資料庫管理系統 永遠不要使用 “sa” 針對內建的預存程序加以限制 不要直接顯示任何資料庫錯誤訊息 SQL 指令隱碼 – 有問題的程式 SQL 指令隱碼 – 正確方式 SQL 指令隱碼 大綱 緩衝區溢位 (buffer overruns) SQL 指令隱碼 (SQL injection) 跨網站程式 (cross-site scripting, XSS) 阻斷攻擊 (denial of service, DOS) 單鍵攻擊 (one-click attack) 偽裝安全性警告畫面 其它攻擊方式 什麼是跨網站程式攻擊 ? 什麼是跨網站程式攻擊 ? 透過 Web 應用程式的介面輸入資料，以變更其它使用者瀏覽器所看到的網頁內容 在網頁原始碼中嵌入指令碼 (JavaScript, …) 可以做到 … 偷取使用者的 sessions 和 cookies 資訊 執行 ActiveX 控制項 存取用戶端電腦 欺騙使用者以竊取重要資料 (信用卡 …) 防範跨網站程式攻擊 檢查輸入內容是否包含特殊字元或標籤，例如 script %@ Page ValidateRequest=true ….. 輸出資料前先進行 HTML 編碼，例如 編碼成 lt; 使用 Server.HtmlEncode(…..) 設定 cookie 的 HttpOnly 屬性為 true 跨網站程式攻擊 大綱 緩衝區溢位 (buffer overruns) SQL 指令隱碼 (SQL injection) 跨網站程式 (cross-site scripting, XSS) 阻斷攻擊 (denial of service, DOS) 單鍵攻擊 (one-click attack) 偽裝安全性警告畫面 其它攻擊方式 什麼是阻斷攻擊 ? 藉由攻擊者本身的資源優勢對目標進行癱瘓式攻擊 網路頻寬、CPU 運算速度、I/O 速度 會造成無法對正常的使用者提供服務 透過毀損 web.config 進行阻斷攻擊 大綱 緩衝區溢位 (buffer overruns) SQL 指令隱碼 (SQL injection) 跨網站程式 (cross-site scripting, XSS) 阻斷攻擊 (denial