iT邦幫忙

2024 iThome 鐵人賽

DAY 13
0
佛心分享-IT 人自學之術

從0到1的攻擊手自學之旅系列 第 13

[鐵人賽] Day 13:回顧4/10課程 - (上午場)資通系統管理與防護情形、目錄伺服器主機安全檢測

  • 分享至 

  • xImage
  •  

資安健診基礎訓練課程 - 資通系統管理與防護情形、目錄伺服器主機安全檢測

1.1 課程目標
- 「資通系統管理與防護情形」
- 「目錄伺服器主機安全檢測」

1.2 基礎概念
● 前言及相關法條

  • 第 358 條
    • 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。
  • 第 359 條
    • 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。
  • 第 360 條
    • 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

● 網頁應用程式

  • 網頁應用程式基礎密碼學
    • Base64,基於64個可列印字元來表示二進位資料的方法
    • MD5、SHA 雜湊,雜湊函式把資料壓縮成訊息摘要
  • 網頁應用程式基礎知識
    • Cookie: Cookie是㇐段由Server送給使用者瀏覽器的「資料(文檔)」,讓瀏覽器記下㇐些特定的資訊以便未來能夠更加方便被使用。
    • Session: Session則是將資料紀錄在Server端上,Session 機制會在㇐個用戶完成身分認證後,接著產生㇐組對應的ID ,存下所需的使用者資料。

● 風險評估參考基準

  • 描述漏洞

    • CVE: 給漏洞㇐個編號,命名規則為「CVE-年份-流水號」。
    • CWE:描述常見的軟體缺陷,適合各種情境,命名規則為「CWE - ID: 缺陷名稱」。
    • CPE:「CPE:版本:資產分類:廠商名稱:產品名稱產品版本/產品更新:產品版次:語系」
  • 資安相關網站

    • NVD NIST所維護的國家漏洞資料庫(NVD),是查詢漏洞資訊的入口之㇐
    • Exploit-DB 可尋找漏洞相關資訊及檢測程式。
    • Github 可尋找更多漏洞檢測程式。
  • 弱點的風險嚴重性評估
    CVSS 3.1

● 議題討論

  • Q1. Zenmap預設會使用-A這個參數,-A參數會執行-sC -sV -O等,其中-sC會執行Nmap Scripting Engine (NSE),以ftp檢測為例,會嘗試匿名登入,可被視為攻擊行為嗎?
    • 依刑法第315-1條之規定「無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者。或無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話或身體隱私部位者。」,處三年以下有期徒刑、拘役或三十萬元以下罰金。
  • Q2. 被動情蒐方法,也會不小心觸法嗎?
    • 攜回他人資料依刑法第359條之規定「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」

1.3 基礎工具

項目功能 工具
資訊蒐集 nmap、zmap、zenmap、dirb、 gobuster、enum4linux、PowerView
Chrome擴充功能 Wappalyzer、Cookie Editor、Hack-Tools、Live HTTP Headers、DoGit
主機/網頁弱掃軟體/資料庫攻擊 GVM(openvas)、ZAP、nikto、x-ray、sqlmap
帳密暴力破解工具 hydra、john
PE檔工具 Detect-It-Easy、Exeinfo PE、strings、ldd
滲透測試 Burp Suite Community Edition、ZAP、metasploit framework
作業系統 Kali Linux 、Parrot OS

1.4 目錄伺服器說明

  • AD (Active Directory): 用來集中管理網域(Domain)使用者、電腦、站台等資源,可以透過LDAP協定來查詢及更新物件資料。
  • LDAP (Lightweight Directory Access Protocol): 是標準通訊協定,像是有階層、樹狀結構的資料庫,可提供系統及應用程式做身份驗證及資料查詢。

參考資料

XSS語法工具表:

WebShell工具表:

練習


上一篇
[鐵人賽] Day 12:回顧4/09課程 - (下午場)網路惡意活動檢視之封包監聽與分析
下一篇
[鐵人賽] Day 14:回顧4/10課程 - (下午場)使用者電腦與組態設定安全檢測
系列文
從0到1的攻擊手自學之旅30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言