iT邦幫忙

2023 iThome 鐵人賽
DAY 12
0
Security

珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項系列 第 12

12. 攻擊面防護-網頁服務

15th鐵人賽
271 瀏覽

  • 分享至 

  • xImage
    •  

說明

外部網站通常為鎖定的目標,首先Google可以很輕鬆找到網址,網址可以推出Domain、IP以及憑證,靠著這三個資訊取得更多服務(DNS、Mail...)

方法

observatory這個網站用來檢測網站是否有加上安全設定
https://observatory.mozilla.org/
https://ithelp.ithome.com.tw/upload/images/20230926/200777524r03ftkeYn.png

分數判定方式有12項可以參考Github,市面上很多類似商用服務在網頁上也會用該方式評分
https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md

  1. Contribute.json
  2. Cookies
  3. Cross-origin Resource Sharing (CORS)
  4. Content Security Policy(csp)
  5. HTTP Public Key Pinning
  6. HTTP Strict Transport Security
  7. Redirections
  8. Referrer Policy
  9. Subresource Integrity
  10. X-Content-Type-Options
  11. X-Frame-Options
  12. X-XSS-Protection

以XSS為例,以下三項在Header沒有添加就扣分,然而沒有這些並不代表有這些弱點,不過當網頁沒寫好時少了這些功能保護使用者,通常還是建議加上。
x-xss-protection-disabled X-XSS-Protection header set to 0 (disabled) -10
x-xss-protection-not-implemented X-XSS-Protection header not implemented -10
x-xss-protection-header-invalid X-XSS-Protection header cannot be recognized -10

結論

常常被問到,我網頁又沒受害,為什麼要加一些Header、甚至在瀏覽器還沒強制出現不安全網站警告前,很多http及憑證問題的網站,對網站提供者來說也許沒有什麼危害,但對使用者是有可能受到危害的,例如釣魚信件連結用Redirections技術轉到惡意網站,或是竊取使用者到加密弱的網站之間的內容,這些沒善盡保護責任會讓使用者喪失信賴。


上一篇
11. 攻擊面防護
下一篇
13. 利用Shodan API 收集資訊
系列文
珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項33
  1. 29
    29. 實作-BAS 攻擊模擬
  2. 30
    30. 人命第一
  3. 31
    31. 全自動安全營運中心
  4. 32
    32. Wazuh透過Shuffle做SOAR -1
  5. 33
    33. Wazuh透過Shuffle做SOAR -2
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22200
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙