十大web资安漏洞列表课件

1,OWASP心得,許家瑞,2,大網,簡介 十大Web資安漏洞列表 網站掛馬 修改密碼無效 結論 參考,3,簡介,OWASP(Open Web Application Security Project,開放web軟安全計畫)是一個開放社群、非營利性組織。 研議助解決Web軟安全之標準、工具與技術文件。,4,十大Web資安漏洞列表,跨網站的入侵字串(Cross Site Scripting，簡稱XSS，亦稱為跨站腳本攻擊) 注入缺失(Injection Flaw) 惡意檔案執行(Malicious File Execution) 不安全的物件參考(Insecure Direct Object Reference) 跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF) 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling) 遭破壞的鑑別與連線管理(Broken Authentication and Session Management) 不安全的密碼儲存器 (Insecure Cryptographic Storage) 不安全的通訊(Insecure Communication) 疏於限制URL存取(Failure to Restrict URL Access),5,網頁掛馬(1/2),駭客攻擊企業組織或政府機關的網站，網頁遭到竄改，植入一段惡意連結，或者是設立惡意網站，透過各種宣傳手法，吸引民眾到站瀏覽。 網站的使用者連上該網站。 使用者看不到這個連結，也不必點選這個連結，只要連上網站，就會轉引自駭客預先設計好的陷阱。 在不知情的情況下，使用者被植入木馬程式。,6,網頁掛馬(2/2),7,2007-07-05 中國2007年上半年病毒疫情及互聯網安全報告,8,2008-08-08 阿碼科技非官方blog 阿碼外傳,9,2008-08-08 阿碼科技非官方blog 阿碼外傳,10,回避偵測技巧,2008-08-08 阿碼科技非官方blog 阿碼外傳,11,2008-08-08 阿瑪科技非官方blog 阿瑪外傳,12,使用電子郵件應有的警覺性觀念,為何會收到這封郵件？ 為何對方會有我的郵件信箱的地址？郵件地址外流的原因？就像詐騙集團怎會有我的手機電話或個人資料一樣。 是不是應該收到這封郵件？ 需要注意的是“郵件內容”，包含郵件主旨及信件內容，是不是跟我有關聯？內容是否合理？有沒有威脅利誘的字眼？有沒有詐騙的可能？。 是不是有必要開啟附件或點選連結？ 真正危害的動作是開啟附件或點選連結，是這兩個動作開始讓我的電腦被植入惡意程式，所以在這兩個動作上務必審慎之。,基本上，有心人士堅信一件事.總有一天釣到你,13,2008-08-06 阿碼科技非官方blog 阿碼外傳,14,分析鏈結的工具,1.HackAlert / 2.LinkScanner / 3.Dr.Web / 4.Finjan /,15,作業系統 vs E-mail系統,作業系統若中毒 = 重灌 E-mail系統密碼被知 = 改密碼,？ ？,16,修改密碼無效,17,參考資料,/2008/08/cnn.html /2008/08/blo