2015年2月17日 星期二

[搜尋引擎優化]提交網站sitemap

前言
網站的sitemap對搜尋引擎優化來說,是相當重要的一環,可以籍由這樣的動作,將網站的目錄架構,提交給搜尋引擎(google、bing),以供搜尋引擎快速登錄你的網站內容,以增進使用者搜尋到你網站的機率。

其教學步驟如下:

(1)網站sitemap產生器 http://ctrlq.org/blogger/
首先,利用sitemap產生器,產生屬於自己網站的sitemap後,會得到一串sitemap開頭的字串,如圖紅色框框所示

(2)以google為例,將sitemap至網站管理員工具(https://www.google.com/webmasters/tools/home?hl=zh-TW),進行提交測試,若無異常的話,即可立即新增


(3)以bing為例(http://www.bing.com/toolbox/webmaster/),先進行登入微軟帳號的動作(可用以前msn帳號登入)

當「新增網站」後,進行網站的設定完成,最後經過認證,代表已提交完成sitemap了,最後等待bing的處理程序

小結
雖然搜尋引擎優化的議題已經很久了,不過想要爭取網路上的曝光程度,作好基本的搜尋引擎優化是必要的。而最簡單的方式,就是主動將自己網站的內容先至搜尋引擎上作提交的動作,增快搜尋引擎爬取你網站的速度和效率,將有別以往單純將網站架置完成後,等待漫長的時間等待搜尋引擎來建立索引。

2015年2月16日 星期一

[惡意程式追查]本機電腦異常基本分析方法(第二篇)

前言
在「主機異常連線與網路中繼站判斷」這篇中,有初步提及到從防火牆的日誌檔案,去追查異常的區域網路內的主機連線行為,而本篇,則是介紹,在本機輸入指令後,查詢異常的程式。

(1)在cmd視窗輸入「netstat -ano」指令

netstat -ano的指令,主要是查看目前在本機執行的程式有哪些,而且籍由該指令,我們可以查出電腦「當下」的本機位址,目前對外連線的IP、狀態、以及最重要的PID(process ID)


待查出異常的連線網址後,我們需記下當下的PID碼,例如1360

(2)開啟工作管理員視窗
點選檢視「選取欄位」


將「PID(處理程序識別碼)」的欄位勾選,開啟

接下來,當處理程序有PID欄位後,我們可以查看剛才的PID 1360,是哪個應用程式或程式在使用的,進而判斷該程式是否是異常的程式

(3)開啟工作視窗,輸入「msconfig」指令


從系統設定的功能中,在啟動的項目,可以看出,現有啟動區的應用程式有哪些,以及他的命令列功能,有時候惡意程式會常駐在啟動區,隨著系統開機後而自動啟動,因此,系統啟動項目也是需要檢查的地方

接著,在服務項目中,找尋現有執行中的程式有哪些,並初步排除啟動微軟的服務

小結
經由上述的基本操作方式和概念,我們可以利用windows的基本指令,來操作查看電腦異常的存取程式有哪些,排除正常的連線外,剩餘的程式就屬不正常的連線方式。

上述的基本操作,只能針對簡單的惡意程式,將惡意的執行過程寫入啟動區或沒隱匿完成,籍由這樣的檢查方式,查出異常的程式所在位置以及開啟的服務。

2015年2月15日 星期日

[常見資安漏洞]網站重設密碼不確實

網站重設admin密碼,有認證流程問題
點選該網站「忘記密碼」功能

使用網站重設密碼,來重設admin

重新登入admin和重新的新密碼(成功)









[常見資安漏洞]使用google hacking找fckeditor漏洞

利用google hacking找尋fckeditor漏洞
語法:
site:target.com.tw inurl:fckeditor
出現相關頁面


出現異常頁面

利用拆解目錄原理,拆出fckeditor存放檔案路徑
例如:
/ctrl_house/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/asp/connector.asp

結論
fckeditor的功能仍被廣用於網站開發的編輯器功能,但該編輯器持續有被發現漏洞問題,若網站開發人員需使用該套件,應了解該套件上傳檔案的路徑,以及副檔名、目錄的權限控制,以防被駭客上傳web shell的最佳途徑。

[常見資安漏洞]php程式碼外洩

php程式碼設定問題

某網站是利用php開發的,在php後加入?-s





即出現該網站全部程式碼























可能造成的影響:

1.該網站若有寫php寫入的資料庫ip,相關帳號、密碼,則可能因此被作為攻擊的對象

[常見資安漏洞]ckfinder風險-免密碼登入後台


找到目標網站
需登入admin
進行弱掃測試
逐一測試每個目錄功能
登入後台成功
取得管理權限


[常見資安漏洞]網站xss風險

利用弱掃工具找出目標網站的弱點

依結果顯示,該網站下page確有xss風險存在
測試目標網站page值
發現網頁參數在特殊符號下會有異常
測試xss語法後
出現相關的視窗畫面

結論:
該網站確有xss風險問題,若經駭客嘗試成功後,可將正常網域內外加惡意的字串,以竊取使用者的cookie或導致釣魚網站平台盜取使用者帳密



[常見資安漏洞]index of問題

可籍由index of的問題,將網站架構曝露在使用者面前

goole hacking

site:target.com.tw index of/

找到符合結果的連結

該網站的架構,若有db連結的話,很容易被使用者猜測出路徑


2015年2月14日 星期六

[惡意程式追查]主機異常連線與網路中繼站判斷(第一篇)

前言
小小公司網管人員定期分析防火牆日誌檔案,從近期防火牆紀錄中,發現內部網路的電腦主機,有異常連線的行為紀錄,且被害電腦數量不少,因此懷疑公司內部的電腦遭到惡意程式入侵後感染,被植入後門程式,並著手進行全面的清查行為。

在進行清查行為前,首先需判斷「異常的主機連線」和「異常連線的IP使用情況」2大特點,以雙重確認目標電腦是否真為異常情況。

一、主機異常連線

異常防火牆日誌檔分析初步要點:
1.於異常的時間點有封包傳送的情況
例:下班時間後或無人操作時,電腦有異常傳送封包的情形

2.有異常的規律模式
例:經深度分析內部網站主機IP後,發現有別一般人工送出封包的情況,有著特殊的規則(規律),時間間隔一致、對外PORT號一致等情形

3.不同的電腦有共同的對外IP連線
例:極有可能內部電腦經惡意程式感染後,透過USB、人工檔案傳送的方式,交叉感染,其惡意程式統一回報至相同的中繼站主機

4.排除正常連線的行為
例:將一般常見的連線IP、對外PORT號對外排除後,了解該內部電腦的使用情況,以分析是否遭置入惡意程式的可能性

5.異常對外IP活動性確認
例:利用PING的方式,來簡單確認該主機是否還存活的情況

舉例來說,我們從下圖來簡單說明(經整理)
SRC欄位:表示公司內部區網主機
DST欄位:表示對外連線IP
SRC_PORT欄位:公司內部區網主機對外連線的PORT號
DST_PORT欄位:中繼站主機開啟的PORT號

經由上述說明後,我們可以看出,在防火牆的日誌檔內,公司內部的電腦主機,對特定的IP和PORT號都有主動回傳的情況,極有可能該電腦都中了同樣類型的惡意程式

二、網路中繼站判斷

針對異常對外IP,我們可以善用下列工具進行分析:
1.查詢來查看該主機是否在網路上有被討論(google search)
2.利用whois的網站來查詢該IP的國別(whois、whois365)
3.若屬大陸IP,則再利用IP.CN網站(http://ip.cn/)進行查詢,以了解IP所屬地區

4.使用virustotal網站(https://www.virustotal.com/),輸入異常IP後,來判斷該IP是否真為惡意的連線IP
virustotal網站是經長年累月由網友主動回報惡意程式樣本和中繼站主機,且也蒐集了大量的惡意程式樣本和中繼站,精準度頗高,我們將異常IP進行查詢後,可得知該IP是否有被登錄在黑名單中了,若有IP資料的話,代表經查到的IP,我們可以確定列入異常IP
經由virustotal確認後,看出該IP被virustotal列出,近期曾被上傳檢驗的惡意程式,其中繼站的主機位址,與本次我們判斷出的異常IP,是具有一致性的行為。所以可以明確的肯定,該對外IP確有問題

小結:
經由上述的方式,我們可以判斷內部網路中,哪些電腦主機疑似遭到惡意程式植入,並了解該IP是否為異常連線IP和所屬國家。

後續介紹
1.找到疑似感染的目標電腦後,如何查出該電腦內異常對外連線的程式位置(http://linjsian.blogspot.tw/2015/02/unusual-computer-analysis.html)

2015年2月10日 星期二

[解決android開發bios問題]HAX kernel module is not installed

在android開發環境設定好後,新增一個helloworld專案,卻無法開啟模擬器的功態進行瀏覽。且從DDMS上出現下列字串,意思是HAX kernel沒有被安裝。

>emulator: ERROR: x86 emulation currently requires hardware acceleration! >Please ensure Intel HAXM is properly installed and usable. >CPU acceleration status: HAX kernel module is not installed!

因此,作下列檢驗步驟:

1.確認 Android SDK Manager有無下載intel x86 emulator accelerator,若無下載,請安裝


2.在你的sdk安裝路徑下安裝執行intelhaxm-android.exe
路徑:android-sdk\extras\intel\Hardware_Accelerated_Execution_Manager


3.若出現錯誤字串「an error like "Intel virtualization technology (vt,vt-x) is not enabled"」之類的訊息,代表主機板的BIOS的virtualization technology是被關閉的,請開啟為enable狀態
(hp的BIOS進入設定鍵為F10)

4.重新開啟eclipse後,執行該專案並以模擬器的方式呈現效果

小結
較新的主機板(intel)預設會將virtualization technology設為關閉狀態,所以開啟後,即可以順利啟動模擬器功能