下載-台灣駭客年會HITCON2015.ppt

INFORMATION LEAKING 2.0 About Me 職業：網路工程師 副業：部落客 專長： User Experience Research Website QA/QC INFORMATION LEAKING 2.0 Web 2.0 引發的資料洩漏危機 Web 2.0 維基百科是這樣說的... 以 Web 作為 平台 豐富的使用者體驗 分享和參與的架構所驅動的網路效應 快速的反應與功能新增 雙向的互動 Two things for sure... SNSSocial Network Service UGCUser Generate Content 勝於 1.0 的 解決問題，且讓使用者產出更多的內容 著重於人的交流互動 多向溝通，捲起巨大的效應 潛藏的危機 原因... 使用者使用上的盲點 設計者設計上的盲點 舊入侵技術在 Web 2.0 上產生的新效果 網路時代的新成癮症 自我搜尋症 ( EGO-SURFING) 部落格裸奔症 ( BLOG STREAKING ) Google 跟蹤症 ( GOOGLE-STALKING) 相簿潛伏症 ( PHOTO LURKING ) 使用上的盲點 沒有意識到“網路服務”並不是“桌面服務” 只要有機會，你會把任何東西貼上網路 Therefore... Flickr 洩漏了你的面容 Blog 洩漏了你的生活 Twitter 洩漏了你的內心想法 書籤 / 網路書櫃 還洩漏了你的偏好 我們都認為這是正常的 我們會提防真實生活中的詐騙集團但卻預設網路上人人都是善良的好人 More Than That ... 有趣的數據 超過一百萬人填寫基本資料 有八十萬人填了自己的 email並詳細敘述自己 四十多萬是男的 七十多萬是女的 更有趣的東西 ... 反向追蹤系統的威力 好友敘述即是一種標籤 標籤樣本越多，描述就越精確 即使不張貼任何資料，好友標籤照把你隱私及生活歷程都挖出來 有趣的數據與案例 超過兩百萬個人身上有標籤 楊宗緯年齡事件（國中同學） 西點一分妹事件（大學同學） （？）人同時劈腿多男多女 設計上的盲點 SNS 網站內容為社群關係與使用者偏好 好用的 Framework 讓人失去警戒甚至依循不應該的設計規則 你不應該這樣設計 /pages/profile/?userid=1234 /user/show/5678壞人很省事 :) Ruby On Rails 2004 /07 David Heinemeier Hansson Ruby 是一套程式語言Rails 是一套 Framework 大幅節省開發網頁應用程式的時間 開發作品集中於社群網站 慣例優於配置 慣例優於配置 ActiveRecord id - primary key Scaffold every funtions - /show/id/ Books / Guides 人人都是新手，新手只懂照著書寫 Tw*t** F*****ds.*oo* MyS** Mini**orld C*world more 只要你會寫... for 迴圈 HTML parser XML parser JSON parser 一個都逃不了 舊入侵技術 SQL Injection XSS (Cross Site Scripting)這兩種情形，都是基於過於信任使用者輸入的內容，未先將內容 encode 即執行 query 或 output ，導致有機可乘。 SQL Injection XSS More... What is XSS ? 用戶在 Browsing Website、Using IM、Reading Email 時，有時候常會無意去 Click 訊息中的 link。 Web page 中被插入具有惡意目的的 Script，但用戶卻會誤為該 Page 是可信賴的，因此當 Browser 下載該頁面時，嵌入其中的 Script 將會被執行。 通常惡意 Script 會配合社交工程法設計為盜取 Cookie，或植入神秘物在用戶電腦裡。 當然高段手法，莫過於設計成自動感染的 Worm。 Steal Cookie Steps Step 1 : Lock Target 當找到某 Web App 存在 vlun 找看看有沒有 Cookie 機制存在可供下手 Step 2 : Test 某些惡意 Script 會破壞輸出後的頁面。當然不能被看破手腳 Step 3 : Excute XSS 發送出去。如果直接將 URL 發送出去，最好先用 Unicode Encode。 Step 4 : Processing Data 顧名思義，收到 Cookie 後，開始上工 主流 Script H