第四章 web 網站攻擊與防護
DESCRIPTION
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心. 第四章 Web 網站攻擊與防護. 大網. 4.1 Web 常見攻擊手法及弱點分析 4.2 網頁病毒 4.3 網頁應用程式漏洞入侵 4.4 Web 安全防護機制 4.5 Web 防毒牆. 4.1 Web 常見攻擊手法及弱點分析. 網頁應用系統 (Web Application) 以網頁為介面的應用程式與系統 以網頁瀏覽器來進行存取 方便更新與維護 一般常見的網頁應用系統 會員管理系統 線上購物中心 個人部落格 - PowerPoint PPT PresentationTRANSCRIPT
國立雲林科技大學資訊工程系
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心
第四章 Web 網站攻擊與防護
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心
國立雲林科技大學 資訊工程系
大網 4.1 Web 常見攻擊手法及弱點分析 4.2 網頁病毒 4.3 網頁應用程式漏洞入侵 4.4 Web 安全防護機制 4.5 Web 防毒牆
第四章 Web 網站攻擊與防護
2
國立雲林科技大學 資訊工程系
4.1 Web 常見攻擊手法及弱點分析 網頁應用系統 (Web Application)
以網頁為介面的應用程式與系統 以網頁瀏覽器來進行存取 方便更新與維護 一般常見的網頁應用系統
會員管理系統 線上購物中心 個人部落格
網頁應用系統為一個開放式的服務,該服務有可能成為攻擊者主要攻擊的目標或進入內部網路的進入點。 網頁應用系統為一個 Client-
Server 架構,資料在傳輸過程中可能被攻擊者從中攔截或竊取竄改。
第四章 Web 網站攻擊與防護
3
Internet
Client Attacker
Web Server
網頁應用系統 Client-Server 的架構
國立雲林科技大學 資訊工程系
4.1 Web 常見攻擊手法及弱點分析 OWASP ( 開放 Web 軟體安全計畫 - Open Web Application Security
Project) 是一個開放社群、非營利性組織,目前全球有 82 個分會近萬名會員,其主要目標是研議協助解決 Web 軟體安全之標準、工具與技術文件,長期致力於協助政府或企業暸解並改善網頁應用程式與網頁服務的安全性。 如果開放網頁服務,就意味著必須讓來自於全球各地的使用者存取網頁伺服器。駭客可以藉由合法的網頁請求,躲過防火牆、入侵偵測系統或其他防禦系統的偵測,堂而皇之的進入內部網路或使用網頁伺服器充當跳板與中繼站而向其他受害者發動攻擊。 美國聯邦貿易委員會 (FTC) 強烈建議所有企業需遵循 OWASP 所發佈的十大 Web 弱點防護守則、美國國防部亦列為最佳實務,國際信用卡資料安全技術 PCI 標準更將其列為必要元件。
第四章 Web 網站攻擊與防護
4
國立雲林科技大學 資訊工程系
4.1 Web 常見攻擊手法及弱點分析 下圖為 OWASP 於 2007 年所公佈的 Web 十大弱點
第四章 Web 網站攻擊與防護
5
OWASP 2007 TOP 10
國立雲林科技大學 資訊工程系
4.1 Web 常見攻擊手法及弱點分析 1. 跨網站的入侵字串 (Cross Site Scripting) : Web 應用程式直接將來自使用者的請求送回瀏覽器執行,使得攻擊者可以輕易的擷取到使用者的 Cookie 或
Session 資料,而攻擊者就能利用這些資訊假冒成合法的使用者 。 2. 注入缺失 (Injection Flaw) : Web 應用程式會執行來自外部 (包括資料
庫 ) 的惡意指令,如 SQL Injection 、 Command Injection 等等。 3. 惡意檔案執行 (Malicious File Execution) : Web 應用程式引入來自外部的惡意檔案並執行檔案內容。 4. 不安全的物件參考 (Insecure Direct Object Reference) :攻擊者利用 Web 應用程式本身的檔案讀取功能任意存取檔案或重要資料,例如
http://insecuredirectobjectreference.com/read.php?file=../../../c:\boot.ini
5. 跨網站的偽造要求 (Cross-Site Request Forgery ,簡稱 CSRF) :已登入 Web 應用程式的合法使用者執行到惡意的 HTTP 指令,但 Web 應用程式卻當成合法需求處理,使得惡意指令被正常執行,例如社交網站分享的 QuickTime 、 Flash 影片中藏有惡意的 HTTP 請求。
第四章 Web 網站攻擊與防護
6
國立雲林科技大學 資訊工程系
4.1 Web 常見攻擊手法及弱點分析 6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error
Handling) : Web 應用程式的執行錯誤訊息包含敏感資料,例如系統檔案路徑或資料庫欄位名稱的洩露。 7. 遭破壞的鑑別與連線管理 (Broken Authentication and Session Management) :
Web 應用程式中自行撰寫的身分驗證相關功能有缺陷。 8. 不安全的密碼儲存 (Insecure Cryptographic Storage) : Web 應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法以及將金鑰儲存於容易被取得之處等等。 9. 不安全的通訊 (Insecure Communication) : 傳送敏感性資料時並未使用
HTTPS 或其他較安全的加密方式。 10. 疏於限制 URL 存取 (Failure to Restrict URL Access) :某些網頁因為沒有權限控制,使得攻擊者可透過網址直接存取,例如攻擊者可以直接修改 Wiki 或 Blog 網頁的內容。
第四章 Web 網站攻擊與防護
7
國立雲林科技大學 資訊工程系
4.1 Web 常見攻擊手法及弱點分析 從 OWASP 所發佈最常見的十種攻擊方法中,第一個到第五個的攻擊方法皆與 Web 應用程式本身的程式碼有很大的關係,這類的攻擊方法都是利用 Web 應用程式忽略了應該要注意的函數處理以及沒有防範來自使用者的惡意輸入。 第六個到第十個的攻擊方法大部分與 Web 應用程式執行時,因設定或是參數配置有缺失而導致的,這類問題可以透過弱點掃描或滲透測試來發現。
第四章 Web 網站攻擊與防護
8
國立雲林科技大學 資訊工程系
4.2 網頁病毒 網頁病毒常見的可分為下列二種:
網頁惡意程式 網頁木馬程式
網頁惡意程式 原理
網頁可以利用某些程式變得更多樣化,但是有心人士就會利用這些程式撰寫一些惡意的程式,例如更改瀏覽器相關設定 (綁架首頁 ) 。 特色
「製作難度低」是網頁惡意程式的特色,但是這種惡意程式破壞力通常不大,不會造成整個網路癱瘓。 危害
瀏覽器綁架、妨礙上網、收發信不正常、硬碟被格式化等等。
第四章 Web 網站攻擊與防護
9
瀏覽器執行內嵌惡意程式與程式碼而中毒不懷好意的人在網站內嵌惡意程式與程式碼
瀏覽器設定被修改與綁架
硬碟格式化或資料損毀
合併病毒感染或木馬程式植入
瀏覽網頁感染
後果 後果 後果
網頁惡意程式可能造成的結果
國立雲林科技大學 資訊工程系
4.2 網頁病毒 網頁惡意程式
網頁惡意程式大多會修改系統登錄機碼 (Registry) ,然後常駐在開機啟動中讓你下次開機時依然會執行。 網頁惡意程式也經常常駐在 Internet 的暫存檔。 加裝檢查惡意程式軟體可以改善,但無法完全預防。 網頁惡意程式不像病毒與蠕蟲有固定的執行程式與方法,所以使用防毒軟體或檢查惡意程式軟體不一定能找到,因此網頁惡意程式的預防是很重要的。
網頁惡意程式的預防 不收發及轉寄一些奇怪的郵件。 不上一些奇怪的網站 ( 地下、破解、下載、情色等等 ) 。 對於上網要有警覺心。
第四章 Web 網站攻擊與防護
10
國立雲林科技大學 資訊工程系
4.2 網頁病毒 網頁木馬程式
原理當木馬被執行後,木馬程式會透過網路在使用者與駭客間建立一條資料傳輸通道,而駭客就可以利用這條通道來竊取資料、遠端遙控或監控使用者的畫面取得他所需要的資料。
依感染分類視窗木馬 ( 網頁惡意程式 ) 。電子郵件木馬 ( 網路釣魚、轉寄文件 ) 。
依作用分類遠端遙控木馬鍵盤側錄木馬畫面擷取木馬資料竊取木馬 (帳號、密碼、信用卡資料 ) 跳板程式木馬呼叫其他病毒、蠕蟲或其他種類木馬的木馬複合型木馬
危害系統運作不正常、帳號被竊取、檔案資料被變更、沒在上網網路卻很忙、電腦無故變慢等等。
第四章 Web 網站攻擊與防護
11
透過網頁、郵件附件植入木馬
感染與發作
建立與駭客連結通道傳輸資料
網頁木馬感染流程圖
國立雲林科技大學 資訊工程系
4.2 網頁病毒 網頁木馬程式
木馬一定需要被執行,所以可查看系統裡有哪些不正常的應用程式或服務被啟動。 有些木馬會使用正常系統應用程式的名稱,如 explorer.exe exp1orer.exe (小寫 L數字 1) 。 使用防毒、木馬軟體移除已知的木馬。 手動檢查
系統登錄機碼啟動程式區服務啟動區Internet 下載暫存檔Windows\system32 程式區不正常網路通訊
網頁木馬程式的預防 不收發及轉寄一些奇怪的郵件。 不上一些奇怪的網站 ( 地下、破解、下載、情色等等 ) 。 安裝個人防火牆、系統監控軟體。
第四章 Web 網站攻擊與防護
12
國立雲林科技大學 資訊工程系
4.2 網頁病毒 網頁惡意程式及木馬程式的危害
對網站擁有者而言 因管理不善導致他人被入侵而負上法律責任。 商譽的損失。
對一般使用者而言 資料失竊隱私資料、信用卡資料、線上遊戲虛擬寶物…
被當跳板主機可能面臨法律責任
第四章 Web 網站攻擊與防護
13
國立雲林科技大學 資訊工程系
4.2 網頁病毒 造成網頁惡意程式及木馬程式的原因
網站伺服器的弱點或管理不當 不當的設定與管理 不安全的預設網站路徑與記錄檔檔案配置 沒有更改預設的管理者密碼 不當設定讓使用者能存取任何網頁目錄 過於寬鬆的網頁權限設定 沒有刪除不必要之網站或虛擬目錄
網頁應用程式設計錯誤 SQL Injection
第四章 Web 網站攻擊與防護
14
國立雲林科技大學 資訊工程系
4.2 網頁病毒 網頁惡意程式及木馬程式的攻擊手法
內嵌 直接在網頁中嵌入惡意程式碼
實例 可導致使用者作業系統被入侵的程式碼,例如:攻擊 Internet Explorer 弱點的攻擊程式 (MS06-14…) 。
第四章 Web 網站攻擊與防護
15
國立雲林科技大學 資訊工程系
4.2 網頁病毒 網頁惡意程式及木馬程式的攻擊手法
外連 將使用者導引至外部惡意網站 目前最常被使用的掛馬方式 目前常見的實作手法:
修改網頁 HTML語法,將使用者導引至外部網站例如:使用 IFRAME語法。
使用 JS檔案將使用者導引至外部網站
第四章 Web 網站攻擊與防護
16
國立雲林科技大學 資訊工程系
4.2 網頁病毒 外連範例 -多媒體檔案
部份多媒體檔案為了增加互動性,支援內嵌 script 的功能,當使用者播放該多媒體檔案,將會觸發 script 的執行。 常見可執行 script 的多媒體格式
Real Player : RM 格式 Flash : SWF 格式 Microsoft Media Player : WMV 格式
駭客可以修改 script 內容,在播放影片時將使用者導引至惡意網站。
第四章 Web 網站攻擊與防護
17
國立雲林科技大學 資訊工程系
4.2 網頁病毒 攻擊手法分析 內嵌
優點 不容易讓使用者發覺 (但容易被掃瞄到、 HackerAlert) 。
缺點 可能會被伺服器上的防毒軟體掃除。 惡意程式改版不易。 須取得完整修改網頁的權限。
第四章 Web 網站攻擊與防護
18
國立雲林科技大學 資訊工程系
4.2 網頁病毒 攻擊手法分析 外連
優點 僅需取得插入一行程式碼的權限。 駭客可以隨時修改惡意程式。
缺點 駭客所使用的網址會被加入黑名單。
第四章 Web 網站攻擊與防護
19
國立雲林科技大學 資訊工程系
4.2 網頁病毒 如何避免網頁病毒
伺服端 使用網頁惡意程式檢測,例如:阿瑪科技、 McAfee 。 安裝修補程式 (作業系統、應用程式 ..) 。 加固系統。 弱點掃瞄。 使用防毒軟體、 NIPS 、 Firewall 、 網頁應用程式防火牆等。 網頁掃瞄軟體或服務 (例如: HackSafe) 。
使用者端 避免上可能有惡意程式的網站。 安裝修補程式。 使用防毒軟體、 HIPS 、 Person Firewall等。 考慮 IE 以外的瀏覽器 (Firefox) 。 停用 Javascript功能或使用 Firefox套件 Noscript 。 建立網站黑名單。
第四章 Web 網站攻擊與防護
20
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 SQL Injection
破解系統登入管制正常指令string strSQL=“Select * from Users where username=‘” + textUserName.Text + “’ and password=‘” + txtPassword.Text +’”’;惡意指令在 User ID 中輸入 ‘ or 1=1 - -string strSQL=“Select *from Users where username=“ or 1=1 - - and password=“”
破壞資料庫惡意指令在 User ID 中輸入 Jack ; drop table Users - -string SQL=“Select * from users where username=‘Jack’ ; drop table Users - -
控制 SQL Server惡意指令在 User ID 中 輸 入 Jack ; exec
master..xp_cmdshell ‘ipconfig /release’string SQL=“Select * from Users where username=‘Jack’ ; exec master..xp_cmdshell ‘ipconfig /release’
第四章 Web 網站攻擊與防護
21
username passwordUsers
Database
Web 登入介面
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 如何防範 SQL Injection
網頁程式撰寫方面1. 過濾輸入字串中可能隱含的 sql 指令,如 Insert 、 Select 、 Update 以及 --等等特殊符號 。2. 設定欄位的 MaxLength屬性及 data type 。3. 限制應用程式或網頁只能擁有執行 Stored Procedure 的權限,不能直接存取資料庫中的 table 。4. 進行程式編寫時,應使用 Web Application Vulnerability Scanner 檢查程式是否存在有輸入資料的 漏洞。5. 部置 Web Application Firewall 。6. 在 SDLC 系統開發生命週期中納入應用程式安全的風險評估及檢查。7. 將使用者輸入資料當做參數傳給 SQL敘述或 Stored Procedure 。
第四章 Web 網站攻擊與防護
22
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 如何防範 SQL Injection
資料庫管制方面1. 刪除多餘的公開資料表 ( 程式開發、範例等 ) 。2. 若無特殊必要,將其他使用者設定為一般使用者權限,以避免資料庫遭到入侵。3. 移除不必要但功能強大的延伸預存程序,如 xp_cmdshell 、 xp_regaddmultistring 、
xp_unpackcab等等。4. 加強對資料庫操作的稽核。5. 部署資料庫安全設備 ( 如 SQL Guard) 。6. 使用 [Windows整合安全模式 ]登入資料庫,避免使用系統管理員 sa身份登入資料庫。
第四章 Web 網站攻擊與防護
23
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 Hidden Field Tampering 攻擊
將 HTML Form 存到硬碟中,重製網頁。 竄改 Hidden 欄位的內容值。 將竄改後的 Form 重送到 Web Server 。
Hidden Field Tampering 攻擊步驟 檢視帶有隱藏欄位的網頁原始檔 另存成新的 HTML 檔案 修改網頁中隱藏欄位的內容值
<form name=“Form” method=“post” action=“http://Web Server 位置 /check.asp?id=1”>…<input name=“HiddenPrice” type=“hidden” id=“HiddenPrice” value=“100000”>…</form>
修改完後存檔並執行 Submit
第四章 Web 網站攻擊與防護
24
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 如何防範 Hidden Field Tampering 攻擊
在 Client端對輸入參數過濾 以 Javascript 為例 <script language="Javascript">
function checkID(string) { re = /'/g; if (re.test(string)) {
alert("您不可使用單引號 ");return false;exit;
} else return true;}
</script>
第四章 Web 網站攻擊與防護
25
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 Path Injection
在使用者端瀏覽器做檢查容易被駭客繞過,打破程式設計師預設的邏輯。 實例說明
使用駭客工具 WebScarab 當做 HTTP Proxy ,當使用者 POST 資料後WebScarab 會攔截並手動修改使用者輸入成 path-injection.cpp ,則此程式原始碼就會被 dump出來。
第四章 Web 網站攻擊與防護
26
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 Cross-Site Scripting(XSS) 攻擊
在 1999 年 11 月, David Ross 證明網頁內容可以 inject 到伺服端 (Script Injection) 。
在 2002 年, Samy Worm 在 24小時之內感染了 MySpace.com超過一百萬使用者。 Web 應用程式最常見的漏洞之一。 曾經受害的知名網站眾多,包括: FBI.gov 、 CNN.com 、 Time.com 、 Ebay
、 Yahoo 、 Apple computer 、 Microsoft 、 Zdnet 、 Wired 與 Newsbytes 。 每個月約有 10-25 個網站被發現有 XSS 的漏洞。
第四章 Web 網站攻擊與防護
27
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 XSS 攻擊模式
竊取網頁使用者的個人資料 重導網頁 破壞網頁顯示的內容 執行無窮迴圈
常受到 XSS 攻擊的網頁 搜尋網頁 討論區 留言板 登入畫面
第四章 Web 網站攻擊與防護
28
利用 OWASP 所提供的 WebGoat 所進行的 XSS 攻擊
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 Cross-Site Scripting 工具 GNUCITIZEN ( 使用 php 與 firefox)
GNUCITIZEN宣稱發現 Google Gmail 存在一個 CSRF 安全漏洞,使得攻擊者可以製作任意的惡意網頁,當使用者瀏覽那些網頁時,可以將某些規則寫入 Gmail 的篩選器中 ( 當然,那時你已經登入 Gmail) ,以綁架 (監控 ) 使用者的電子郵件,不過,此作者並未將驗證程式碼公佈。
第四章 Web 網站攻擊與防護
29
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 Cross-Site Scripting 工具 BeEF (Browser Exploitation Framework)
OWASP CAL9000(Beta Status) 作者儘可能的將 OWASP Guide加入此工具以進行 checklist testing 。
第四章 Web 網站攻擊與防護
30
國立雲林科技大學 資訊工程系
4.3 網頁應用程式漏洞入侵 防範 XSS 攻擊 (Client-side)
選擇瀏覽器 - IE 、 Firefox 、 Opera… 。 使 用 瀏 覽 器 的 擴 充 套 件 – AntiPhishing
toolbar(IE 、 Firefox) 、 noscript(Firefox)… 。 關閉特效 – Javascript 、 Flash… 。 使用虛擬機器。 對使用者進行教育訓練。
防範 XSS 攻擊 (Server-side) 對使用者輸入的資料過濾。 設定 TextBox 等欄位的 MaxLength 屬性。 對 Cookie 資料加密。 部署 Web Application Firewall 。 了解駭客各種攻擊手法 (URL Encode)
%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E <script>alert(document.cookie)</script>
第四章 Web 網站攻擊與防護
31
國立雲林科技大學 資訊工程系
4.4 Web 安全防護機制 網頁應用程式弱點掃描工具 - WebInspect
可掃描 SQL Injection 、 XSS 等等 38種常見的 Web 應用程式弱點 掃描政策包括
Sarbanes-OxleyCalifornia SB 1386Gramm-Leach-Bliley Act (GLBA)Health Insurance Portability and -Accountability Act (HIPAA)ISO 17799VISA PCI Data ComplianceOWASP Top 10
執行結果:統計影響應用程式的弱點 網站弱點:細部報告每個弱點,解決方案 開發人員的參考:細部描述在網站上所發現 的 form 、 javascript 、 e-
mail 、 hidden… QA結果:列出所有網頁的 URLs 警告視窗:列出每個成功的攻擊和被發現有弱點的 URLs 攻擊狀態:列出攻擊的嚴重程度 掃描記錄 趨勢分析
第四章 Web 網站攻擊與防護
32
使用 WebInspect掃描過程
國立雲林科技大學 資訊工程系
4.4 Web 安全防護機制 網頁應用程式弱點掃描工具 - AppScan
提供完整的 Web 應用程式漏洞掃描引擎,可掃描各種網站應用程式和網站服務。 可偵測出 XSS 、 SQL Injection 等多種
Web 應用系統攻擊,將掃描結果依風險分類與統計。 提供網站自動化掃描, 可定期稽核網站安全強度。 自動線上更新最新發現的安全弱點資料庫,防止 Zero-day 攻擊。 可產生多種符合業界標準 (OWASP Top
10 、 SANS Top 20) 報表範例。 針對不同對象 ( 管理者、開發者 ) ,產生弱點解說報表與修補建議。 提供使用者進階測試工具,協助使用者驗證掃描結果。
第四章 Web 網站攻擊與防護
33
使用 AppScan掃描結果
國立雲林科技大學 資訊工程系
4.4 Web 安全防護機制 網頁應用程式弱點掃描工具 – Acunetix
可防止以下攻擊XSSSQL InjectionGoogle hacking databaseCode executionDirectory traversalCRLF injection…
具有自動搜尋備份檔案、目錄、敏感性資料的檔案或目錄的功能 可自動搜尋可用的網站伺服器
第四章 Web 網站攻擊與防護
34
使用 Acunetix掃描結果
國立雲林科技大學 資訊工程系
4.4 Web 安全防護機制 原始碼掃描工具 – DevInspect
多種分析方法網路應用程式與網路服務的全方位安全性評估
自動修補安全性漏洞找出應用程式中的安全性漏洞區域自動修復有缺陷的程式碼辨識並保護所有應用程式輸入修正不安全的應用程式組態
支援 AJAX搜索 ASP.NET AJAX 網路服務的呼叫並對潛在的 JSON 和 SOAP 網路服務進行深入的安全性分析
ASP.NET 應用程式自我防護能夠偵測並預防數種攻擊類型,包括 SQL Injection 、 XSS 以及緩衝區溢位等
第四章 Web 網站攻擊與防護
35
國立雲林科技大學 資訊工程系
4.5 Web 防毒牆 利用修補軟體所需花費成本過高
平均每 1000 行程式碼會有 15 個安全弱點。 追查一個安全弱點需要花費 75 分鐘,而修補一個弱點需花費 2~9 個小時。 平均每個電子商務網站所使用的應用程式將用到 150,000~250,000 行程式碼。
檢查一個電子商務網站程式碼是否安全需要花費:625 天 ( 一年又 260 天 )
第四章 Web 網站攻擊與防護
36
國立雲林科技大學 資訊工程系
4.5 Web 防毒牆 部署 Web Application Firewall 前,高風險弱點的數量是很吸引駭客的! 部署 Web Application Firewall 後,高風險弱點的數量明顯比部署前少了許多,比較不會引起駭客的注意。
第四章 Web 網站攻擊與防護
37
部署 Web Application Firewall 前
部署 Web Application Firewall 後
國立雲林科技大學 資訊工程系
4.5 Web 防毒牆 Web 防毒牆
避免 Web 應用程式和電子郵件傳播病毒、惡意程式、間諜程式等等。 針對 Web 應用程式,防毒牆提供
應用程式管理目前普遍為大家所使用的應用程式,大致可分為即時通訊、點對點、電子郵件與檔案傳輸等等,若使用這些應用程式,可能產生許多風險,如收送遭受病毒感染的電子郵件。
網頁內容過濾針對網站分類與網頁連結位址進行阻擋,如賭博、色情、暴力等等網站,也可利用自訂的方式將需要阻擋的網頁進行阻擋。
第四章 Web 網站攻擊與防護
38
部署 Web Application Firewall
國立雲林科技大學 資訊工程系
參考資料 「網站攻擊與防護 .ppt 」。 「網路攻防課程 -Day 2.pdf 」。 「 OWASP_Top_10_2007.pdf」。 「 Web 應用程式安全參考指引 V.2.pdf」。 「 http://www.secucom.com.tw/big5/content/content.asp?cid=69」。 「 http://www.bockytech.com.tw/products/Acunetix.htm」。 「 http://www.issdu.com.tw/product/index-2.jsp?catalogID=37 」。 「 IE + some popular forward proxy servers = XSS, defacement (browser cache poisoning) 」。 「 Meanwhile, on the other side of the web server」。 「 Detecting and Preventing HTTP Response Splitting and HTTP Request Smuggling Attacks at
the TCP Level 」。 「 HTTP Response Smuggling」。 台灣電腦網路危機處理暨協調中心, http://www.cert.org.tw/ 。 資通安全資訊網, http://ics.stpi.org.tw/ 。 資安人科技網, http://www.isecutech.com.tw/ 。 ISC 資通安全聯盟, http://www.isc.ntust.edu.tw/ 。 中華民國風險管理學會, http://www.rmst.org.tw/ 。
第四章 Web 網站攻擊與防護
39