o
http://127.0.0.1:8000(防詐 API) 與 http://127.0.0.1:5500/demo_page.html(前端 widget 測試頁)。所有測試在封閉環境中進行,避免實際外部干擾。
使用 Nmap 掃描防詐系統的開放埠與服務版本:
nmap -sV -T4 127.0.0.1
觀察:
應只開放 port 8000 (FastAPI) 與 port 22 (SSH)。
若出現額外服務(例如 5000, 8080),需檢查是否為未保護的 debug 模式。
3.2 弱點掃描
使用 OWASP ZAP 對防詐 API 進行自動弱點掃描:
開啟 OWASP ZAP → Input Target: http://127.0.0.1:8000/docs
開始爬行 (Spider) → 觀察返回頁面中是否有敏感資訊(例如 API key、stack trace)
執行 Active Scan → 觀察:
是否存在 反射型 XSS
是否存在 SQL Injection 或命令注入風險
是否有 開放的 CORS 或錯誤 HTTP Header
✅ 若所有測試皆返回「無嚴重風險」,代表 API 層基本防禦已有效。
3.3 模擬釣魚郵件攻擊
使用 Gophish 模擬一場企業內部釣魚信攻擊。
攻擊流程:
建立活動 (Campaign):
郵件主題:「您的帳號將於24小時內被凍結,請立即驗證」
內容包含短網址連結:https://bit.ly/login-update
發送給測試郵件組(內部虛擬帳號)。
觀察:
防詐系統應在後端 API 分析該 URL 時,判定為 high_risk。
Grafana 儀表板應顯示「高風險連結」指標上升。
3.4 XSS 與輸入注入測試
嘗試向 /analyze 端點傳入惡意字串:
bash
複製程式碼
curl -X POST http://127.0.0.1:8000/analyze \
-H "Content-Type: application/json" \
-H "X-API-Key: secure-api-key" \
-d '{"text": "<script>alert(`xss test`)</script>"}'
預期:
後端應過濾或拒絕含 <script> 的字串。
Response 不應回傳執行內容,僅應顯示 JSON 錯誤訊息。
若日誌中出現 "xss test",需檢查防火牆層(ModSecurity)設定。
四、藍隊防禦(系統回應驗證)
4.1 防禦系統監控
透過 Grafana 儀表板 即時監看:
每分鐘請求數量(應隨攻擊流量上升)。
高風險 URL 判斷率(在 Gophish 測試中應明顯增加)。
防火牆攔截事件(ModSecurity 日誌顯示 XSS 攻擊被阻止)。
4.2 API 攻擊防護驗證
若攻擊流量超過閾值(Rate Limit 超標),應返回 429 錯誤:
json
複製程式碼
{"error": "Too Many Requests"}
若 API Key 錯誤或缺失,應返回 403 Forbidden。
若輸入含惡意腳本標籤,應由防火牆攔截並在日誌中記錄「Refused Request」。
五、測試報告摘要範例(報告用表)
類別 測試項目 結果 防禦狀態
掃描 Nmap 埠掃描 僅開 8000, 22 ✅
自動化掃描 OWASP ZAP XSS/SQLI 無高危漏洞 ✅
模擬攻擊 Gophish 郵件活動 URL 被標記 High Risk ✅
攻擊流量 Rate Limiting 測試 超標後自動封鎖 ✅
防火牆 ModSecurity 攔截惡意字串 攔截成功 ✅
六、問題與改進建議
URL 檢測速度仍偏慢:
→ 建議新增 Redis 快取,記錄最近 1000 筆檢查結果以加速重複查詢。
模型需加強誤判率控制:
→ 收集更多實際樣本,強化文字語義特徵,導入 NLP 向量化(例如 TF-IDF + SVM)。
前端警示顯示優化:
→ 將警示框設計成更明確的顏色與圖示(紅框 / 黃框 / 綠框),增強使用者體驗。
未來可加入封包層檢測(Network Layer):
→ 例如整合 Suricata IDS 或 Zeek 來分析網路流量中釣魚指標。
七、進階挑戰(Optional)
若要讓系統達到真正「企業級防禦」水平,接下來可嘗試:
設計自動化紅藍演練平台:讓系統能自行觸發模擬攻擊、記錄應對結果。
建立告警回饋機制:將防禦事件同步傳送至 Slack / Teams 通知。
整合 SIEM(安全資訊事件管理):集中管理所有安全事件,形成完整防禦循環。
iThome鐵人賽
看影片追技術