iT邦幫忙

2022 iThome 鐵人賽

DAY 17
0
Security

資安新人30系列 第 17

資安新人30 Day17 網站常見攻擊手法(一)

  • 分享至 

  • xImage
  •  

今天整理一下網站的攻擊手法,因為查到的攻擊手法類型有點多,想說分成兩天/images/emoticon/emoticon07.gif

常見攻擊手法

Google hacking

利用Google提供的搜尋功能,利用語法的查詢,查詢出機敏性資料

相關的語法可以參考網路上其他文章教學。

可能的影響

  • 機敏性資料洩漏

防範

  • 存取權限限制及檢查
  • 設定robots.txt,(要注意雖然爬蟲部會去爬取特定檔案,但是也告訴有心人士哪裡可能有資料)
  • 設定HTML標籤 <meta>,根據設置的屬性禁止相對應爬取的功能
    例如
    <meta name="robots" content="noindex,noimageindex,nofollow, nosnippet" >
    

SQL Injection

在之前2021 OWASP Top 10有出現,主要是後端程式,在輸入參數過於相信使用者輸入未針對使用者的參數進行檢查,或者使用字串相加組成SQL語法。

可能影響

  • 身份驗證繞過
  • 資料庫資料洩漏
  • 資料庫內容遭竄改
  • 讀取主機機密檔案
  • 執行OS指令

預防

  • 使用參數化
  • 使用正規表示法(Regex)或者輸入參數限制
  • 遵守最小權限原則
  • 使用WAF(Web Application Firewall)防護

額外分享

之前看過一題Google CTF的題目,雖然有針對使用者的參數參數化,這題是利用mysql的語法特性和Nodejs express 的擴充套件,來造成身份繞過,有興趣的可以看一下,影片連結:youtube 影片連結


XSS

類型

  • Reflected XSS(反射型)
    藉由原網站弱點,建立惡意網址誘騙使用者點擊含有惡意語法的連結

  • Stored XSS(儲存型)
    藉由原網站將惡意語法存入後端(資料庫),藉由讀取資料執行相關語法

  • DOM-Based XSS
    網站在執行javascript,未詳細檢查資料使得產生惡意語法

  • Server Side XSS (Dynamic PDF)

    最近在看影片看到的,不確定有沒有多這一個類型/images/emoticon/emoticon19.gif

    假如網站使用使用者的輸入資料去生成建立PDF,攻擊者可以嘗試輸入惡意語法,讓產生PDF的程式去執行任意javascript語法,可以獲取Server端的相關資料或者對其他的服務進行攻擊。

影響

  • 身份冒用,查看相關機敏資料
  • 導向惡意的釣魚網站,騙取使用者個人資料(帳號密碼)
  • 誘騙使用者下載惡意軟體
  • 獲取相關資料

預防

  • 驗證輸用者輸入資料,要在後端檢查,不要在前端檢查(有手法可以進行前端語法繞過)
  • 避免瀏覽器可以執行惡意語法

參考資料

如果有任何錯誤的地方歡迎提出。/images/emoticon/emoticon41.gif

後記

可以觀看我們團隊的鐵人發文~/images/emoticon/emoticon08.gif


上一篇
資安新人30 Day16 GCB安裝與檢查
下一篇
資安新人30 Day18 網站常見攻擊手法(二)
系列文
資安新人3030
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言