淺談常見的防禦機制

第三方支援

弱點掃描

NESSUS/OpenVAS（主機弱點掃描）

• 現在沒有免費版了，剩下professional跟expert
• 如果實在不想花錢買Tenable Nessus, 可以使用nessus另外一個分支，開源軟體OpenVAS，漏洞更新大概晚Nessus一個月左右
• OpenVAS
  • 報告(sample)
    • Result Overview
      • 
        • 如果有風險為high，須及時修改
    • Results per Host
      • 
      • 列出所有風險的成因與影響，以及該如何處理此風險
      • 如上圖所示，顯示出此系統有偵測到TLSv1.0 and/or TLSv1.1通訊協議
        • TLSv1.0/TLSv1.1使用弱加密(SHA-1 or M5)不但都已被破解，而且還含有其他漏洞。
        • CVE編號：CVE-2015-0204、CVE-2011-3389
      • 解決：
        • 棄用TLSv1.0TLSv1.1，改用TLSv1.2+

OWASP ZAP (網頁安全測試)

• OWASP

  • Open Web Application Security Project，非營利組織，主要目標是協助網頁安全標準、工具、技術文件

• ZAP

  • Zed Attack Proxy
  • 已滲透性測試測試網頁程式漏洞

• OWASP ZAP報告(sample)

  • 
  • Summary of Alerts
    • 總結有幾個高低風險
  • Alert
    • 總共幾個類似的風險問題
      • CORS misconfiguration
        • access-control-allow-origin: * # 想去哪裡就去哪裡
          • 風險：誘導受害者登入後點擊此釣魚網站，並在釣魚網站加上

          fetch ('正確網址') {
              credentials: 'include'
          }   # 我帶著正確網址的cookie
          
          .then (
              window.location = '幫你轉導至正確的網址'  #通常沒有看network的不會知道發生什麼事
          )
          

          • 類似CSRF攻擊，但是GET Method通常不會有CSRF token保護
      • Missing Anti-clickjacking Header

        • 簡單來說就是受害者以為自己點擊的是正確的網頁，實際上是釣魚網站or惡意網站

        • 作法：把釣魚網站或惡意網站的透明度降到最低，在用CSS加上內容

        • 解決：設置X-Frame-Options阻止網域內的頁面被其他頁面嵌入