[資安] 系統上線後該注意事項

今天坎尼在登入某網站的時候，大概是 Session 到期
所以網頁要求坎尼重新輸入帳密
沒想到重新登入後，出現了以下的畫面

ㄟㄟ，這不對吧，把資訊跟使用者講也就算了
連 Table Name 和 Column Name 都跑出來了
今天是無心的使用者還好，如果是惡意的使用者...

最近坎尼剛好有玩到 CAT.NET 做靜態源碼分析
也遇到有一條剛好是  Response.Write(Exception.Message)

CAT 給的 Resolution 是
「Do not provide the user with specific exception information」

「不要提供使用者太多明確的資訊」

的確，尤其像已經用 try catch 處理，卻又將錯誤訊息顯示給使用者看
坎尼可以了解有時就是為了方便除錯，但可能為系統開了個大洞而不自知
(不過上面的實例看來是連例外都沒補捉 ="=

雖然可以說都用 Parameter 做處理，可以避免所有危險字串
但今天可以防不代表明日就擋的下來啊


所以一旦除錯做完就記得把這類的動作給拿掉
免的日後資料外洩說不定還會吃上官司

小小一點感觸  :(

owasp Day2 下

週末和閃光出門去慶祝記念日
本來想趕在萬聖節結束前多寫個一篇的
可惜.....最後還是沒趕上 XDD
今天來把剩下的 owasp 心得補完

---

兩天的行程終於到了最後半天
所謂行百里者半九十 可是坎尼在第75公里時就覺得撐不下去了
吃完好吃的便當後 坎尼逛了逛廠商的攤位
(經濟部做的檢測軟體坎尼還覺得蠻厲害的
回座位時已經快開始下半場 此時坎尼才驚覺...還沒休息啊 orz

下午第一場的 Dhruv & Pukhraj Singh 兩人所講的瀏覽器威脅
坎尼完全在昏睡中渡過 真是覺得很對不住他們兩位

第二場是來自 owasp Thailand分會的 Tim Bass
坎尼覺得他演講很有技巧 而且不會趕 讓聽眾不會覺得有壓力
他以 Google Docs 為例 來說明 proxy cache 所可能造成的資安威脅
起因是他某天不小心看到了別人的 Google Docs文件
經研究之後 發現是 proxy cache 造成 而且這威脅無法被避免 (要和ISP配合才可能
要是這種事情發生在重要的機密文件上 造成的損失可能就很難預估了

第三場是 Alexander Meisel所講的 Web Application Firewalls (WAF)
說真的 坎尼現在看著筆記 卻想不起那時 Alex 講的是什麼
不過坎尼有個印象比較深的就是
惡意的指令是可以用2進位編碼的方式 將之編成圖片格式
只要使用者讀取到圖片的內容 就會進行惡意行為

第四場是 Steven Adair 所講的 Botnet 及 Ddos 研究
Botnet (僵屍網路) 坎尼最近才知道這個名詞
DDoS 則是 Distributed DoS 的縮寫

坎尼以前寫過一支程式 專門用來抓取一些網路上的資訊
沒想到卻不小心對某網站造成 Denied Of Service 導致一下午該網站都連不上去
坎尼當時只是用單一台電腦 對單一台Server做不斷存取的動作
可是這DDoS可不同 它利用了被控制的眾多電腦 (也就是 Botnet) 來對目標進行攻擊
再強大的Server 面對這樣的攻勢 (如果又沒建白名單) 應該很難繼續有所動作

另外 Steven 還有提到 Botnet 還會自動變形
讓使用者防不勝防 更何況還有一堆人不曉得這東西的存在

最後是講師們的綜合會談
由聽眾提問題 再由台上的講師們提出看法
這邊坎尼就沒做筆記了

這兩天坎尼聽了很多以前沒接觸過的領域
也了解資安不能只依靠軟體 更要有良好的規劃
程設師更要有良好的寫作習慣 先讓風險從自己手上降低一半
接著才是從硬體及軟體上著手

owasp Day 2 上

昨天一路塞車塞回家 坎尼到家時已經快七點半了
然後看到忘了帶出門的手機.....老板 call 了四通啊 囧>
今天又要早起下高雄出差 所以昨晚吃過東西 盥洗完就上床了

---

好啦 交待完畢
今天就來回顧一下昨天的owasp第二天 (可是好多東西都沒印象了 orz

第一場是坎尼期待的 RSnake所講的 Clickjacking
本來坎尼只以為和之前看到的 就是控制使用者端的 Webcam 及 Microphone
但 Robert Hansen 提出來一些用法真的讓坎尼豁然開朗
像是設計一個 text input 利如 1 + 1 = [ Here is the TextBox ]
利用iFrame及css的排版方式 讓 allow button 位於這個位置
一般的使用者如坎尼...會有種很強烈的想點它的慾望...
此時....Webcam可能已經被人偷偷的開啟了.....

當然 Clickjacking 只是個手法
你可以利用 iFrame 的方式 令其他人將你加入他們社交網站的好友
也可以讓使用者點了下載按鈕
或是#@%$#$%$% click anything what you want

Wow....我只能這麼讚嘆.....
如同新聞稿所講 這東西是尚無解決方法的.....
即時你將 javascript關掉也是一樣 (如何 恐怖吧~~~
現在能做的 只是消極的更新及盡量使用 no script 的環境
還有上網時自己小心了

坎尼等這幾天忙完了也想來研究 clickjack的程式面
不過坎尼會很好心的先用幾個好友來測試啦 XDDD
(囧興 才一個人就講這麼一大篇了

第二場是 Chenxi Wang 博士
王博士有提到Web 2.0的進步其實不只增加了大家的便利性
也增加了更多采多姿的攻擊方式
Web App Security確是目前坎尼所看到的開發缺失
案子在規劃階段從不會將此議題納入 總是等到事情鬧大了才去補東補西

今天坎尼去出差時也順便看了一下這個案子的程式碼
囧興~ 程式碼裡竟然有 SQL Injection的危險存在
由於要改的數量可能不少 坎尼都不敢跟承辦人提起這件事
從這邊來看 我猜應該公司部分案子都有被入侵的危險
(有空是該跟同事交流一下coding的方式和觀念了

第三場是來自 Hong Kong 的 Anthony
不過 Anthony 自認中文不太好 所以還是全程講英文
讓坎尼避免了和 Tim 去 TechED 時相同的命運 XDDD

Anthony示範了如何利用工具去 Exploit
這段也讓坎尼嚇到屁滾尿流
坎尼知道駭客們多多少少會有些工具 不過這些工具也太厲害了
不僅寄存在對方的 process 中 還可以隨意變換
當然對方電腦裡的東西都一目了然 還可以做 upload & download
連同對方的 MS Sql server 的 Table Schema 下個指令就跑出來了
還可以分析弱點 囧興~ (這是坎尼派出的第幾隻囧烏龜??

Anthony講話也很好笑 尤其是開場的快速自我介紹令人印象十分深刻
還有那個改變自己寄存的process 導致 IE 自動關閉
「使用者只會以為IE又掛了。Thanks Microsofx」 (消音中)
可惜Anthony時間不是很足夠 只好匆匆的結束整個演說

這篇真的太長了 坎尼只好默默的在標題上補個 『上』
當然 有任何講錯的也請給與意見指教 感謝 :p

owasp Day 1

最近坎尼要趕案子 所以一直沒時間上來發表一些技術心得
這兩天剛好有請到假去參加 owasp 亞洲年會 官方blog
今天是第一天 坎尼稍微簡短的寫一下心得

---

由於資安是坎尼最近才接觸的領域
所以許多專業的東西還是交給專家們去講吧 XD
接下來可能還會寫些 Javascript 網頁掛馬的技術心得

今天很早起的坎尼 一大早就趕過去 TICC
不過由於人真的太多了 會議一直到約10點才開始
坎尼都已經快睡著了 (因為太早起 orz

開場為阿碼科技的CEO Wayne Huang
接著是資策會及 III 的長官為大家致詞

第一場是 Foundstone 的 YM Chen
他為大家介紹了近年的資安演進及駭客攻擊目標的轉變
另外還有資訊安全的生態模式
再來是用 Google News VS UAL 的例子 (前陣子坎尼有注意到這則新聞
來講解為何自動化工具還不能被完全信任

第二場是 Wayne 和 Birdman (應該沒拼錯吧?
他們講解了今年初 Mass SQL Injection 事件
令坎尼驚訝的是 原來駭客們的分工極細 例子裡就有四個集團
不過最終目的就是 讓user瀏覽掛馬的網站 然後把rootkits下載至client端

再來是 birdman 為大家演示幾個例子 (這些等下篇開個標題再提 :p
接著說明了靜態源碼檢測的難度 (JS可變形 可動態產生可執行碼.....
另外 birdman 有講個笑話 (我不確定是不是真的是笑話啦 XDDD
國內N牌防毒有講 95%的掃描都是多餘的 應該是要讓電腦變慢 讓駭客不想攻擊

第三場是來自菲律賓孟買分會的 KK Mookhey
講的是 Web App Testing
由於 KK 的英語口音比較獨特點 坎尼有段時間就恍神了
還好坎尼的手還有自動在抄筆記 所以還有些印象
他有提到 Google的庫存頁面功能
他的客戶 (某網站書店) 的 某些user就利用Local Searching的方式
免費的得到一些書籍的 PDF 檔 而不是出錢來購買 利益因此損失

第四場是 Charmi Lin
他的題目很有趣 ：修改密碼無效!駭客還是在收取你的電子郵件
裡面講到了 webmail 如何被駭客用具有 XSS 的信
讓使用者只要打開信件閱讀 即可將使用者的 cookie 資訊傳輸回去
再利用 cookie 來侵入使用者的 webmail

「改密碼不就好了」大家也都是這個疑問
不過別忘了題目所講的 修改密碼無效!!!
因為駭客進入只是第一步 第二步就是修改被進入Webmail的使用者的設定

比方講gmail裡的 寄副本給某信箱選項
坎尼其實用那麼久的gmail 還不曉得有這個選項 哪天被入侵還不曉得 orz
所以曾經有被入侵或密碼外洩的人 最好將整個webmail的設定都檢查一次

下一場是 PK和Jack所講的個資洩露案子
也就是前陣子很有名的 5000萬筆資料被駭的新聞
相信在看這篇文章的大家 資料應該都在人家手上了 orz
(被入侵的是健保局....唉唉....

PK還有Demo一個 MSNBOT
它可以把目前電腦的資訊傳回來 還可以抓圖 送指令
還Demo了某家DLP產品的漏洞 利用這個漏洞直接讓對方電腦藍白畫面

接下來是 Fyodor Yorochkin
不過由於都是他個人的遭遇的案例
所以坎尼沒記到什麼筆記 冏興

最後是來自 China 的 Frank Fan
他演講了中國大陸這幾年的駭客行為
還有講解自動化Mass Injection工具的設定檔
(說真的 這工具真的很簡單又很有破壞力
再來還有說到驗證碼 也有人利用OCR方式來做自動化攻擊
最近是黑箱及白箱測試的講解 (這邊坎尼還沒找到相關資料
簡單來講 黑箱就是單純看程式的運作方式 來推論其內部結構
白箱就是直接打開 source code 來看是否有資安的危險
中間坎尼有點漏掉 筆記沒抄的很完整

以上大概就是今天一天的概況
如果有講錯 請各方大德用力的鞭
其他心得等過幾天再來補上 坎尼在家加班趕東西了 Q_Q

ps. Tim 你們公司明明就是贊助商 怎麼不趁機和老板說要來聽 - -