Ajax网页提供更多的攻击面-Microsoft.PPT

故事的起源 傳統的網頁vs Ajax網頁 新興的駭客攻擊技術 重新評估Javascript的攻擊力 網站安全的新趨勢 Ajax網頁防駭守則 Web 2.0精神與資訊安全 當您打開瀏覽器, 瀏覽M社群網站某個人的部落格, 或是瀏覽雅虎的電子郵件, 隨著所瀏覽的網頁下載到您的電腦執行的Javascript悄悄地掃瞄您的網路, 判斷Router的廠牌, 然後傳送命令給Router, 打開無線網路, 關閉資料加密功能…在24小時內, 光是在美國境內, 就有一百萬人受到波及… 以上所說為真實的事件, 並非虛構 網頁程式可以直接被Internet使用者使用, 受到駭客攻擊的機會很高 只從網路與伺服器+防火牆方面加強安全性, 無法免除被駭客攻擊的恐懼 防火牆不能封鎖Web伺服器的80連接埠 SSL主要的作用在保護機密資料 程式開發者必須注意所開發的程式可能被攻擊的地方 Web應用程式的安全漏洞的三大來源: 傳統網頁的運作原理 Ajax網頁的運作原理 Ajax網頁開發技術 傳統的網頁vs Ajax網頁 Ajax網頁的安全考量 以同步(Click and Wait)的方式處理網頁使用者的操作 使用者必須等待網頁處理完成(不夠敏捷) E旅遊網 以非同步的方式處理網頁使用者的操作 使用者不需要等待網頁處理完成(敏捷) Thin Client vs Rich Client Clear Box vs Black Box Ajax:Asynchronous Javascript and XML的縮寫 Rich Client網頁解決方案(利用Javascript, DHTML+ DOM + CSS, XMLHttp, 和XML技術) 優點 省時, 省錢, 節省頻寬 使用者操作感覺友善 缺點 瀏覽器必須可以執行Active Scripting Javascript扮演極重要的角色 新興的攻擊傳播媒介:連結網站(例如M), 電子郵件(例如:Yahoo) 使用Ajax技術開發的網站更易受到攻擊, 例如使用Ajax技術製作的電子郵件收發網頁 更多的頻寬, 更多的資料交換與連結, 培養更多的駭客, 網站的問題只會更多 資訊安全的問題若不能解決, Web 2.0網頁的精神將令使用者未蒙其利, 先受其害 暴露較多的程式資訊 提供較傳統網頁更多的攻擊面 對XSS式駭客攻擊術有推波助瀾的效果 駭客可以經由檢視網頁原始碼的方式輕易獲取程式的資訊, 包括 變數名稱, 資料型態, 允許的範圍 函數名稱, 參數, 回傳值 流程控制 輸入資料驗証 … 使用者從了解網頁的功能(What to do), 進化成了解網頁如何完成功能(How to do) 傳統網頁的攻擊面 Form Input, Cookie, Header 參數(例如Query String), File, Database, … Ajax網頁暴露的攻擊面 Web Service提供的方法 Bridge (*.asbx) http://IP/虛擬目錄/Test.asmx?wsdl 可以透過設定關閉查詢功能 http://IP/虛擬目錄/Test.asmx?js 攻擊能夠以主動, 非同步, 不更新瀏覽器顯示的內容的方式進行攻擊或感染, 使用者不易察覺(衍然病毒), 伺服器亦難以判斷是否為使用者的行為 攻擊M的XSS病毒發生於2005年10月 攻擊雅虎電子郵件的XSS病毒發生於2006年6月 XSS攻擊與Web平台和瀏覽器無關, 純粹是網頁程式製作不當 XSS驚人的擴散能力, 有必要重新檢視Javascript的攻擊力 在網頁中加入以下的Javascript就可以盜取剪貼簿(Clipboard)中的資料 script Language=JavaScript var content = clipboardData.getData(Text); alert(content); /script 示範:盜取剪貼簿中的資料 OWASP公佈十大網頁安全漏洞 資料輸入驗証的重要性 小心使用內含Javascript或HTML的Third-Party Gadget或Plug-In, 例如: Google AdSense Wikipedia – 維基百科 月曆 … 未檢驗使用者輸入的資料 權限管制漏洞 身分驗証漏洞與Session管理不當 Cross Site Scripting漏洞 緩衝區溢滿 植入執行命令 錯誤處理不當 機密資料(包括金鑰, 密碼, 憑証)加密不當, 演算法選擇不當, 亂數產生不當… 癱瘓攻擊 不安全的設定, 啟用不需要的服務, 使用預設帳號, 預設密碼, 機密檔案存取權限管制不當… 85%的攻擊肇因於疏於執行資料輸入驗証 基本原則 不可相信使用者輸入的資料 Client端驗証不算