iT邦幫忙

2022 iThome 鐵人賽

DAY 6
1
Security

不想上班系列系列 第 6

[Day 6] 淺談常見的防禦機制(下)

  • 分享至 

  • xImage
  •  

淺談常見的防禦機制

第三方支援

弱點掃描

NESSUS/OpenVAS(主機弱點掃描)

  • 現在沒有免費版了,剩下professional跟expert
  • 如果實在不想花錢買Tenable Nessus, 可以使用nessus另外一個分支,開源軟體OpenVAS,漏洞更新大概晚Nessus一個月左右
  • OpenVAS
    • 報告(sample)
      • Result Overview
          • 如果有風險為high,須及時修改
      • Results per Host
        • 列出所有風險的成因與影響,以及該如何處理此風險
        • 如上圖所示,顯示出此系統有偵測到TLSv1.0 and/or TLSv1.1通訊協議
          • TLSv1.0/TLSv1.1使用弱加密(SHA-1 or M5)不但都已被破解,而且還含有其他漏洞。
          • CVE編號:CVE-2015-0204、CVE-2011-3389
        • 解決:
          • 棄用TLSv1.0TLSv1.1,改用TLSv1.2+

OWASP ZAP (網頁安全測試)

  • OWASP

    • Open Web Application Security Project,非營利組織,主要目標是協助網頁安全標準、工具、技術文件
  • ZAP

    • Zed Attack Proxy
    • 已滲透性測試測試網頁程式漏洞
  • OWASP ZAP報告(sample)

    • Summary of Alerts
      • 總結有幾個高低風險
    • Alert
      • 總共幾個類似的風險問題
        • CORS misconfiguration
          • access-control-allow-origin: * # 想去哪裡就去哪裡
            • 風險:誘導受害者登入後點擊此釣魚網站,並在釣魚網站加上
            fetch ('正確網址') {
                credentials: 'include'
            }   # 我帶著正確網址的cookie
            
            .then (
                window.location = '幫你轉導至正確的網址'  #通常沒有看network的不會知道發生什麼事
            )
            
            • 類似CSRF攻擊,但是GET Method通常不會有CSRF token保護
        • Missing Anti-clickjacking Header
          • 簡單來說就是受害者以為自己點擊的是正確的網頁,實際上是釣魚網站or惡意網站

          • 作法:把釣魚網站或惡意網站的透明度降到最低,在用CSS加上內容

          • 解決:設置X-Frame-Options阻止網域內的頁面被其他頁面嵌入


上一篇
[Day 5] 淺談常見的防禦機制(中)
下一篇
[Day 7] 被動掃描 (上)
系列文
不想上班系列30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言