2008年10月27日

owasp Day 1

最近坎尼要趕案子 所以一直沒時間上來發表一些技術心得
這兩天剛好有請到假去參加 owasp 亞洲年會 官方blog
今天是第一天 坎尼稍微簡短的寫一下心得

由於資安是坎尼最近才接觸的領域
所以許多專業的東西還是交給專家們去講吧 XD
接下來可能還會寫些 Javascript 網頁掛馬的技術心得

今天很早起的坎尼 一大早就趕過去 TICC
不過由於人真的太多了 會議一直到約10點才開始
坎尼都已經快睡著了 (因為太早起 orz

開場為阿碼科技的CEO Wayne Huang
接著是資策會及 III 的長官為大家致詞

第一場是 Foundstone 的 YM Chen
他為大家介紹了近年的資安演進及駭客攻擊目標的轉變
另外還有資訊安全的生態模式
再來是用 Google News VS UAL 的例子 (前陣子坎尼有注意到這新聞
來講解為何自動化工具還不能被完全信任

第二場是 Wayne 和 Birdman (應該沒拼錯吧?
他們講解了今年初 Mass SQL Injection 事件
令坎尼驚訝的是 原來駭客們的分工極細 例子裡就有四個集團
不過最終目的就是 讓user瀏覽掛馬的網站 然後把rootkits下載至client端

再來是 birdman 為大家演示幾個例子 (這些等下篇開個標題再提 :p
接著說明了靜態源碼檢測的難度 (JS可變形 可動態產生可執行碼.....
另外 birdman 有講個笑話 (我不確定是不是真的是笑話啦 XDDD
國內N牌防毒有講 95%的掃描都是多餘的 應該是要讓電腦變慢 讓駭客不想攻擊

第三場是來自菲律賓孟買分會的 KK Mookhey
講的是 Web App Testing
由於 KK 的英語口音比較獨特點 坎尼有段時間就恍神了
還好坎尼的手還有自動在抄筆記 所以還有些印象
他有提到 Google的庫存頁面功能
他的客戶 (某網站書店) 的 某些user就利用Local Searching的方式
免費的得到一些書籍的 PDF 檔 而不是出錢來購買 利益因此損失

第四場是 Charmi Lin
他的題目很有趣 :修改密碼無效!駭客還是在收取你的電子郵件
裡面講到了 webmail 如何被駭客用具有 XSS 的信
讓使用者只要打開信件閱讀 即可將使用者的 cookie 資訊傳輸回去
再利用 cookie 來侵入使用者的 webmail

「改密碼不就好了」大家也都是這個疑問
不過別忘了題目所講的 修改密碼無效!!!
因為駭客進入只是第一步 第二步就是修改被進入Webmail的使用者的設定

比方講gmail裡的 寄副本給某信箱選項
坎尼其實用那麼久的gmail 還不曉得有這個選項 哪天被入侵還不曉得 orz
所以曾經有被入侵或密碼外洩的人 最好將整個webmail的設定都檢查一次

下一場是 PK和Jack所講的個資洩露案子
也就是前陣子很有名的 5000萬筆資料被駭的新聞
相信在看這篇文章的大家 資料應該都在人家手上了 orz
(被入侵的是健保局....唉唉....

PK還有Demo一個 MSNBOT
它可以把目前電腦的資訊傳回來 還可以抓圖 送指令
還Demo了某家DLP產品的漏洞 利用這個漏洞直接讓對方電腦藍白畫面

接下來是 Fyodor Yorochkin
不過由於都是他個人的遭遇的案例
所以坎尼沒記到什麼筆記 冏興

最後是來自 China 的 Frank Fan
他演講了中國大陸這幾年的駭客行為
還有講解自動化Mass Injection工具的設定檔
(說真的 這工具真的很簡單又很有破壞力
再來還有說到驗證碼 也有人利用OCR方式來做自動化攻擊
最近是黑箱及白箱測試的講解 (這邊坎尼還沒找到相關資料
簡單來講 黑箱就是單純看程式的運作方式 來推論其內部結構
白箱就是直接打開 source code 來看是否有資安的危險
中間坎尼有點漏掉 筆記沒抄的很完整

以上大概就是今天一天的概況
如果有講錯 請各方大德用力的鞭
其他心得等過幾天再來補上 坎尼在家加班趕東西了 Q_Q

ps. Tim 你們公司明明就是贊助商 怎麼不趁機和老板說要來聽 - -

5 則留言:

Unknown 提到...

那我來補充一下黑箱(black box)和白箱測試:

黑箱測試:顧名思義,tester 並不瞭解 function 內部的 implementation,他只能根據 function 的 interface 來設計 test case,並且設法透過不同的 input 來驗證是否能得到預期的 output,但很可能沒辦法 cover 到每種可能的 execution path。這種程度的測試是有可能外包的。參考Wikipedia

白箱測試:又稱 clear box testing,是根據 function 實際的 implementation 來設計 test case,因此通常由撰寫 function 的 developer 來實作(通常是 unit testing),如此可幾乎 100% 確保 test case 可以 cover 接近 100% 的 execution test。由於必須能夠 access 所有的 source code,因此不可能將此工作外包。參考Wikipedia


換個角度想,在 call .NET 的內建 assembly 的時候也相當於黑箱測試(因為你不知道內部的實作是怎樣),只能相信 MS 有做好白箱測試(usually unit testing),因此有超過 99.99% 的時候你不會得到意料之外的 output。


最後...我只知道我們公司有代理 Fortify,到是不清楚是 owasp sponsor ... 最近也太忙了沒空去:p

坎尼 提到...

坎尼補充兩種方式的優缺點 (剛改完程式

黑箱測試雖然比較無法全面性的偵測
但可以把一切可能發生的情況包含進去
這樣就會變成通用的測試工具
還可以做到 7X24 全時間監控

白箱的好處就是可以很直接的找到問題
可是並無法24小時的守在電腦前
(人是要休息的
所以一但發生問題
並無法立即的偵測或是反應
且白箱測試都需要額外的人力

所以最好的作法還是 黑箱+白箱

以上為年會講師 Frank所演說的內容

Unknown 提到...

那我要反駁一下 XD

由於不知道實際上的 implementation,黑箱應該很難包含所有的 execution path,畢竟不知道內部有多少種可能的邏輯判斷(不確定要丟怎麼樣的特殊 input 才會觸發特定的邏輯判斷)。

至於白箱的話,也沒有規定一定要人力測試,不管是黑箱還是白箱,都可以透過自動測試的方式進行,人只要看最後產出的報表就可以了。

另外如果是採用 daily build + unit test,就類似 smoking test,隔天早上第一件事就是看有多少紅燈、多少綠燈,然後先把變成紅燈的地方都修正完畢 ...

匿名 提到...

KK是孟買分會長哦, 不是菲律賓人

坎尼 提到...

可惡的 Tim 硬是要反駁我 不過我的確是講錯了 XDDD

另外感謝樓上的補充 坎尼在寫這篇時 腦子裡真的還是很混亂

Google Spreadsheet 裡用規則運算式

最近因為工作關係,遇到要用 Google Form 及 Google Sheet 所以研究了 Google Sheet 裡的一些 function 怎麼用 首先,分享一下如何在 Google Sheet 裡用規則運算 :D