《OWASP(Open Web Application Security Project )心得.ppt》由会员分享,可在线阅读,更多相关《OWASP(Open Web Application Security Project )心得.ppt(17页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、1,OWASP心得,許家瑞,2,大網,簡介十大Web資安漏洞列表網站掛馬修改密碼無效結論參考,3,簡介,OWASP(Open Web Application Security Project,開放web軟安全計畫)是一個開放社群、非營利性組織。研議助解決Web軟安全之標準、工具與技術文件。,4,十大Web資安漏洞列表,跨網站的入侵字串(Cross Site Scripting,簡稱XSS,亦稱為跨站腳本攻擊)注入缺失(Injection Flaw)惡意檔案執行(Malicious File Execution)不安全的物件參考(Insecure Direct Object Reference)
2、跨網站的偽造要求 (Cross-Site Request Forgery,簡稱CSRF)資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)遭破壞的鑑別與連線管理(Broken Authentication and Session Management)不安全的密碼儲存器 (Insecure Cryptographic Storage)不安全的通訊(Insecure Communication)疏於限制URL存取(Failure to Restrict URL Access),5,網頁掛馬(1/2),駭客攻擊企業組織或政府
3、機關的網站,網頁遭到竄改,植入一段惡意連結,或者是設立惡意網站,透過各種宣傳手法,吸引民眾到站瀏覽。網站的使用者連上該網站。 使用者看不到這個連結,也不必點選這個連結,只要連上網站,就會轉引自駭客預先設計好的陷阱。 在不知情的情況下,使用者被植入木馬程式。,6,網頁掛馬(2/2),7,2007-07-05 中國2007年上半年病毒疫情及互聯網安全報告,8,2008-08-08 阿碼科技非官方blog 阿碼外傳,9,2008-08-08 阿碼科技非官方blog 阿碼外傳,10,回避偵測技巧,2008-08-08 阿碼科技非官方blog 阿碼外傳,11,2008-08-08 阿瑪科技非官方blog
4、 阿瑪外傳,12,使用電子郵件應有的警覺性觀念,為何會收到這封郵件? 為何對方會有我的郵件信箱的地址?郵件地址外流的原因?就像詐騙集團怎會有我的手機電話或個人資料一樣。是不是應該收到這封郵件? 需要注意的是“郵件內容”,包含郵件主旨及信件內容,是不是跟我有關聯?內容是否合理?有沒有威脅利誘的字眼?有沒有詐騙的可能?。是不是有必要開啟附件或點選連結?真正危害的動作是開啟附件或點選連結,是這兩個動作開始讓我的電腦被植入惡意程式,所以在這兩個動作上務必審慎之。,基本上,有心人士堅信一件事.總有一天釣到你,13,2008-08-06 阿碼科技非官方blog 阿碼外傳,14,分析鏈結的工具,1.HackAlerthttp:/ 4.Finjanhttp:/ vs E-mail系統,作業系統若中毒 = 重灌E-mail系統密碼被知 = 改密碼,? ?,16,修改密碼無效,17,參考資料,http:/armorize-