1 / 91

弱點掃瞄系統介紹

弱點掃瞄系統介紹. 南投區網中心 資安計劃人員 王嘉裕. 本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供. Outline. 網路安全現況與威脅 弱點掃瞄系統介紹 教育部 網站應用程式弱點監測平台. 2. http://tw.news.yahoo.com/article/url/d/a/090121/19/1ddpy.html. 3. http://tw.news.yahoo.com/article/url/d/a/090330/8/1gxta.html. 4. Web 威脅 / 危機. 歷年 Web 應用程式資安事件統計. 5.

gail
Download Presentation

弱點掃瞄系統介紹

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 弱點掃瞄系統介紹 南投區網中心 資安計劃人員 王嘉裕 本投影片部份內容 由成大資通安全研發中心 鍾沛原先生提供

  2. Outline • 網路安全現況與威脅 • 弱點掃瞄系統介紹 • 教育部網站應用程式弱點監測平台 2

  3. http://tw.news.yahoo.com/article/url/d/a/090121/19/1ddpy.htmlhttp://tw.news.yahoo.com/article/url/d/a/090121/19/1ddpy.html 3 http://tw.news.yahoo.com/article/url/d/a/090330/8/1gxta.html

  4. 4

  5. Web 威脅/危機 歷年Web應用程式資安事件統計 5 資料來源:資策會,Web應用程式安全參考指引草案

  6. Web 威脅/危機(con.) 1 10 • 惡意網頁 • 歐洲逾萬網站遭駭(2007/06 ) • 駭客隨機挑選安全防護較不完整的網站為跳板,植入惡意連結程式,竊取個人機密資料及植入木馬程式做為跳板,藉以造成更大規模的感染。Sophos偵測,2007.6報告指出每天可以檢測出29700個惡意網站。其中有 80%是合法網站,但遭到了駭客入侵,並植入惡意程式。 • Google: 的網站很危險 • 〈瀏覽器潛在的魅影:網路惡意軟體之分析〉(The Ghost in the Browser: Analysis of Web-based Malware) 6

  7. Web 威脅/危機(con.)

  8. StopBadware.org • http://www.stopbadware.org/home/reportsearch 8

  9. 國內網站淪陷列表 大砲開講 http://www.rogerspeaking.com/ TW 網站淪陷資料庫 http://www.itis.tw/compromised 9

  10. Web application頭號嚴重資安弱點 10

  11. Web application頭號嚴重資安弱點(con.) 著名的駭客攻擊手法 SQL Injection Cross-Site Scripting (XSS) XSS攻擊 透過伺服器向使用者端下手* 伺服器端 使用者端 SQL Injection攻擊 由伺服器資料庫下手 11

  12. 看網頁,中木馬!! 木馬後門 資料來源:新波科技 劉楨民

  13. 分析這些現象… • 人人都知道資安很重要,但卻不知如何做。 • 所以舊的威脅依然存在。 • 錯誤的觀念,將駭客拱成英雄。 • 犯罪者利用來進行犯罪行為。 • 駭客攻擊轉向有目的的行為 • 竊取機敏資料 • 要資料也要錢 13

  14. Nessus

  15. Nessus • 系統弱點掃瞄與分析軟體。 • 1998年,Nessus 的創辦人 Renaud Deraison 進行 “Nessus” 計畫,其計畫目的是希望能為網際網路社群提供一個免費、威力強大、更新頻繁並簡易使用的遠端系統安全掃瞄程式。 • 2002年時, Renaud 創辦Tenable Network Security 機構。Nessus 3釋出之時,該機構收回了 Nessus 的版權與程式原始碼。 15

  16. Nessus的特色 • 提供完整的電腦弱點掃瞄服務,並隨時更新其弱點資料庫。 • 不同於傳統的弱點掃瞄軟體,Nessus 可同時在本機或遠端上搖控,進行系統的弱點分析掃瞄。 • 其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加記憶體大小),其效率表現可因為豐富資源而提高。 • 可自行定義附加軟體(Plug-in) • NASL(Nessus Attack Scripting Language) 是由 Tenable 所開發出的語言,用來寫入Nessus的安全測試選項。 • 完整支援 SSL (Secure Socket Layer)。 • 支援作業平台包括:Linux, Mac, FreeBSD, Solaris, Windows等。 16

  17. Nessus安裝 (Server) • OS: CentOS 5.3 • 1.http://www.nessus.org/download/ • 2.CentOS 5: Nessus-4.0.2-es5.i386.rpm • 3.Server端安裝: # rpm –ivh Nessus-4.0.2-es5.i386.rpm • 4.建立帳號: /opt/nessus/sbin/nessus-adduser • 5.到http://www.nessus.org/register/去申請註冊序號 • 6.Server端啟動: # /sbin/service nessusd start 17

  18. Nessus安裝 (Client) • OS: Windows XP • 1.http://www.nessus.org/download/ • 2.Windows XP, 2003, Vista & 2008: Nessus-4.0.2-i386.msi • 3.安裝完畢後啟動Nessus Client 18

  19. Nessus操作 19

  20. Nessus操作 20

  21. Nessus相關建議 • Nessus的掃瞄結果是依據主機的patch狀況而定;若遠端主機遲遲未上patch,那麼掃瞄結果也將顯示出該主機存在不少漏洞。 • 短時間內對多台主機做這類型的掃瞄,並提供掃瞄結果給使用者參考,同時對系統漏洞作出相對建議的應變措施,達到及早發現及早預防之效果,以免駭客有可乘之機。 21

  22. Nikto

  23. Nikto • 網頁弱點掃瞄軟體。 • 可以掃瞄超過3300種潛在危險的檔案和CGI程式等;超過625種伺服器版本;超過230種特定伺服器問題。 • Nikto用來檢查網頁伺服器和其他多種項目: • 錯誤的設定 • 不安全的檔案和程式 • 過時的軟體版本 • 使用Perl語言開發而成。 • 可以檢查HTTP和HTTPS。 • 同時支持基本的port掃瞄,以判定網頁伺服器是否運行在其他port。 • 可以使用‘update’選項從官方網站自動更新,以應對新的弱點。

  24. Nikto安裝 • OS: CentOS 5.3 • 1.http://www.cirt.net/nikto2 • 2.下載http://www.cirt.net/nikto/nikto-current.tar.gz • 3.# tar –zxvf nikto-current.tar.gz

  25. Nikto操作 • perl nikto.pl -h 192.168.0.1 • (port 80) • perl nikto.pl -output a.log -h 192.168.0.1 • perl nikto.pl -h 192.168.0.1 -p 443 • perl nikto.pl -h https://192.168.0.1:443/ • perl nikto.pl -h 192.168.0.1 -p 80,88,443 • perl nikto.pl -h hostfile • 192.168.0.1:80 • www.ncnu.edu.tw:8080 • 192.168.0.3 • perl nikto.pl -update

  26. Nikto

  27. RatProxy

  28. RatProxy • 被動式網頁弱點掃瞄軟體 • 使用 Proxy 的方式運作,並非主動連接到特定網站抓取所有網頁回來分析。 • Google資訊安全技術團隊所研發的程式安全偵測工具。 • 可偵測到的漏洞包括 • Cross-site Scripting (XSS, 跨網站指令碼) • 指令碼惡意置入(script inclusion issues) • 惡意網頁內容(content serving problems) • insufficient XSRF (跨網站請求偽造) • XSS 防護(XSS defenses) 等

  29. RatProxy安裝 • OS: CentOS 5.3 • 1. http://code.google.com/p/ratproxy/ • 2.下載http://ratproxy.googlecode.com/files/ratproxy-1.58.tar.gz • 3.# tar –ratproxy-1.58.tar.gz

  30. RatProxy操作 • 瀏覽器需設定Proxy,掛上server的IP位址及port • ./ratproxy • -v logdir (瀏覽http的log儲存位置) • -w logfile (要儲存的log檔名稱) • -d domain (過濾要監測分析的domain) • -p port (指定要監測的port) • -r (使遠端機器可以進行使用) • ./ratproxy-report.sh ratproxy.log > report.html

  31. RatProxy

  32. 教育部網站應用程式弱點監測平台

  33. 教育部網站應用程式弱點監測平台 • 南投區域網路中心 • 建構資通安全基本防護系統計劃 • 平台開發:成大資通安全研發中心 • 弱點監測平台首頁:http://ewavs.ntrc.edu.tw • 南投區域網路中心營運點於98年9月9日正式啟用 33

  34. 研究計劃內容 • 建置「教育單位網站應用程式弱點監測平台」,提供網站安全監控通報及SQL Injection、XSS檢測服務,並提出相關的防護與修補建議。 • 移轉監測機制與平台至14處區網中心,協助建立長期營運機制,使教育單位有穩定、可靠的監測工具。 • 提供基測、技職聯招與大考等網路服務主機、成績登錄主機等訂定資安作業規範,提供防護建議與服務。

  35. 網站應用程式弱點檢測平台 1. 使用者帳號與 網站申請 2. E-mail通知系統管理者 2. E-mail通知已申請使用者帳號 單位使用者 系統管理者 4.E-mail說明與檢測同意書列印連結 3. 帳號審核通過 帳號審核 3. 帳號審核不通過 4.E-mail審核失敗 檢測申請-使用者帳號申請流程圖 35

  36. 5. 通過審核之使用者以紙本郵寄或傳真送出 網站檢測同意書 7. E-mail知通審核結果(通過或未通過) 單位使用者 6. 審核使用者申請的網站 系統管理者 8. 管理者以郵寄或傳真方式送出 保密切結書 檢測申請-網站檢測申請流程圖 網站應用程式弱點檢測平台 36

  37. ●檢測服務申請流程說明: 【使用者帳號申請流程】 1. 單位使用者至「網站應用程式弱點檢測平台」申請個人資訊與檢 測平台網址。 2. 填寫完畢後,平台將註冊資訊以電子郵件傳送給使用者,並發E- Mail通知管理者有新單位使用者帳號加入 3. 管理者審核單位使用者帳號 4. 審核結果由平台發通知信給單位使用者並且說明原因。 【網站檢測申請流程】 5. 審核通過之單位使用者依通知信列印校園網站弱點檢測同意書,附上單位章以郵寄或傳真方式送給營運點之管理者。(聯絡資訊請參閱平台上之各營運點聯絡資訊說明) 6. 管理者收到紙本校園網站弱點檢測同意書後,審核核對帳號與受測網站資料是否有誤。 7.並以E-MAIL回覆審核結果給單位使用者,審核無誤後,管理者 開通單位使用者申請之檢測網址。 8.管理者郵寄或傳真保密切結書給單位使用者。 檢測申請流程說明 37

  38. 網站應用程式弱點檢測平台 1. 登入平台 2. 進入「網站排程」頁面 7. 登入平台,進入「網站結果」頁面瀏覽檢測報告 下拉「檢測網址」選擇受測網站,點選「檢測服務時程」選擇檢測時間 3. 單位使用者 4. 系統依排程進行網站檢測 6. E-Mail寄發檢測完成通知 5. 檢測完成,系統自動產生檢測報告 • ●流程說明: • 單位使用者登入平台 • 進入「網站排程」頁面 • 在「檢測網址」選擇受測網站,並點選 • 「檢測服務時程」選擇檢測時間 • (註:同一帳號申請另一次檢測,排程需間隔一天) • 平台依排程進行網站檢測 • 檢測完成,平台自動自動產生檢測報告 • E-Mail寄發檢測完成通知給單位使用者 • 單位使用者登入平台, 進入「網站結果」頁面瀏覽檢測報告 系統檢測流程圖 38

  39. 網站應用程式弱點檢測平台 1. 使用者登入平台修改個人資料 (帳號與E-Mail無法變更) 單位使用者 2. 點選「修改」後,完成修改動作 • ●流程說明: • 單位使用者登入平台修改個人資料 (帳號與E-Mail無法變更) • 點選「修改」後,完成修改動作 • 使用者的E-mail異動時,請與平台管理者連絡 異動流程-單位使用者資料修改流程圖 39

  40. 網站應用程式弱點檢測平台 3. 系統寄發新網站 申請給管理者 2. 新增檢測網站的網址 1. 使用者登入平台 5. 系統寄發審核 結果給使用者 4. 管理者人工審核網址 單位使用者 系統管理者 異動流程-檢測網站新增流程圖 • ●流程說明: • 單位使用者登入平台,進入「網站維護」頁面 • 在最後一行欄位輸入新增檢測網站的網址,點選「新增」 • 平台寄發新網站檢測申請給管理者 • 管理者人工審核網址 • 系統寄發審核結果給單位使用者。 40

  41. 網站應用程式弱點檢測平台 2. 刪除檢測網站的網址 1. 使用者登入平台 3. 完成網址刪除動作 單位使用者 等待中 等待中 • ●流程說明: • 單位使用者登入平台,進入「網站維護」頁面。 • 點選「刪除」,刪除檢測網站的網址與相關檢測資料 (注意:一旦刪除就無法復原, 其相對應之檢測報告也會一併刪除) • 完成網址刪除動作。 註:網站尚未設定檢測排程之前以及網站已設定排程且檢測狀態為[已完成]、[已中斷]時才可使用刪除功能 異動流程-檢測網站刪除流程圖 41

  42. 網站應用程式弱點檢測平台 1. 排程中斷,以E-Mail通知該 排程之使用者 單位使用者 2. 登入平台,重新排程 3. 系統依排程繼續進行網站檢測 4. 檢測完成,系統自動產生檢測報告 5. E-Mail寄發檢測完成通知 系統管理者 • ●流程說明: • 平台發現中斷,平台以E-Mail通知單位使用者 • 登入進入「網站排程」頁面,重新排程 • 平台依照新排程繼續進行網站檢測 • 檢測完成,系統自動產生檢測報告 • E-Mail寄發檢測完成通知 異動流程 – 平台中斷機制 42

  43. 網站應用程式弱點監測平台簡介

  44. 平台首頁 44

  45. 申請服務 • 會員申請 填妥資料後按下[申請] 45

  46. 列印檢測同意書 • 使用者通收到審核通知信後,即可登入本平台列印檢測同意書。 46

  47. 平台功能說明 • 網站維護 • 新增 • 增加欲進行弱點檢測之網站清單,狀態欄為「已審核」者才得以進行檢測申請(網站排程頁面)。 • 刪除 • 管理欄顯示為「尚未進行排程」或「已檢測完成」者,才得以刪除該筆檢測網站資料。 • 網址(URL)格式如 http://xxx.edu.tw • 新增後均需要再經由管理者人工審核通過後,才可列入網站維護清單。 47

  48. 平台功能說明(cont.) • 網站排程 滑鼠點一下 該時段已申請檢測之排程數, 同時段排程上限由各營運點自行設定 48

  49. 平台功能說明(cont.) • 網站排程說明 • 使用者檢測排程之資訊 • 前次設定排程時間:2009/7/23 下午 02:48:02 • 排程間隔時間:23 小時 • 同時線上可排程數:10 • 目前線上排程數:8 • 剩餘可排程數:2 • (設定)網站排程 • 檢測時段:早 (06:00~18:00) 晚 (18:01~05:59) • 同時段檢測排程之上限,請參考各營運點之規定。 • 設定已中斷排程 • 檢測排程發生中斷時,使用者可重新設定未完成檢測之下次檢測時間。 • 取消排程 • 允許取消大於2天後的排程。(即2天內將執行的排程無法取消) 49

  50. 平台功能說明(cont.) • 網站檢測結果 排序類別 50

More Related