資安健診基礎訓練課程 - 資通系統管理與防護情形、目錄伺服器主機安全檢測

1.1 課程目標
- 「資通系統管理與防護情形」
- 「目錄伺服器主機安全檢測」

1.2 基礎概念
● 前言及相關法條

• 第 358 條
  • 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。
• 第 359 條
  • 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。
• 第 360 條
  • 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

● 網頁應用程式

• 網頁應用程式基礎密碼學
  • Base64，基於64個可列印字元來表示二進位資料的方法
  • MD5、SHA 雜湊，雜湊函式把資料壓縮成訊息摘要
• 網頁應用程式基礎知識
  • Cookie: Cookie是㇐段由Server送給使用者瀏覽器的「資料(文檔)」，讓瀏覽器記下㇐些特定的資訊以便未來能夠更加方便被使用。
  • Session: Session則是將資料紀錄在Server端上，Session 機制會在㇐個用戶完成身分認證後，接著產生㇐組對應的ID ，存下所需的使用者資料。

● 風險評估參考基準

• 描述漏洞

  • CVE: 給漏洞㇐個編號，命名規則為「CVE-年份-流水號」。
  • CWE:描述常見的軟體缺陷，適合各種情境，命名規則為「CWE - ID: 缺陷名稱」。
  • CPE：「CPE:版本:資產分類:廠商名稱:產品名稱產品版本/產品更新:產品版次:語系」

• 資安相關網站

  • NVD NIST所維護的國家漏洞資料庫（NVD），是查詢漏洞資訊的入口之㇐
  • Exploit-DB 可尋找漏洞相關資訊及檢測程式。
  • Github 可尋找更多漏洞檢測程式。

• 弱點的風險嚴重性評估
  

● 議題討論

• Q1. Zenmap預設會使用-A這個參數，-A參數會執行-sC -sV -O等，其中-sC會執行Nmap Scripting Engine (NSE)，以ftp檢測為例，會嘗試匿名登入，可被視為攻擊行為嗎？
  • 依刑法第315-1條之規定「無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者。或無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話或身體隱私部位者。」，處三年以下有期徒刑、拘役或三十萬元以下罰金。
• Q2. 被動情蒐方法，也會不小心觸法嗎？
  • 攜回他人資料依刑法第359條之規定「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」

1.3 基礎工具

• Google Hacking

  • site:com.tw intitle:"index of"
  • Pentest tools google hacking

• 基礎工具

  • CyberChef
  • 檢查有無加殼Exeinfo PE
  • 找出程式語言Detect It Easy(DiE)
  • 找出程式碼dnSpy
  • Wappalyzer
  • Cookie Editor

• 線上合法練習網站
  ● CTFD http://ctfd.lovetaiwan.tw/
  ● http://zero.webappsecurity.com/index.html
  ● http://demo.testfire.net/
  ● http://testasp.vulnweb.com/
  ● http://testphp.vulnweb.com/
  ● http://testaspnet.vulnweb.com/
  ● https://github.com/WebGoat/WebGoat

1.4 目錄伺服器說明

• AD (Active Directory): 用來集中管理網域(Domain)使用者、電腦、站台等資源，可以透過LDAP協定來查詢及更新物件資料。
• LDAP (Lightweight Directory Access Protocol): 是標準通訊協定，像是有階層、樹狀結構的資料庫，可提供系統及應用程式做身份驗證及資料查詢。

參考資料

XSS語法工具表：

• https://github.com/s0md3v/AwesomeXSS
• https://github.com/payloadbox/xss-payload-list
• https://github.com/s0md3v/XSStrike
• https://github.com/foospidy/payloads

WebShell工具表：

• https://github.com/xl7dev/WebShell
• https://github.com/tennc/webshell

練習

• 平台清單
  • https://github.com/apsdehal/awesome-ctf
• OWASP Juice Shop
  • https://owasp.org/www-project-juice-shop/
• Vulnhub
  • https://www.vulnhub.com/
• Vulhub ㇐鍵靶場
  • https://github.com/vulhub/vulhub
  • https://github.com/VulnTotal-Team/IoT-vulhub