2016年3月18日 星期五

[常見資安漏洞]google hacking自動架站軟體index of目錄揭露問題

google hacking自動架站軟體index of目錄揭露問題

簡介:
電子商務的盛行,使得人人可利用現成的架站軟體建構屬於自已的網站平台,且可以減輕初學者在架置網站時所遇到的門檻,以輕輕鬆鬆達到架置網站行銷的目的。不過若對於網站運作流程不熟悉,不懂的伺服器安全性的問題,極有可能導致網站的漏洞產生,進而變成駭客手中的目標。

我們從下列中是為典型利用自動架站軟體(如wordpress、joomla等)所建置而成的網站,在安全性控管的不足所造成的漏洞,而恐怖的是,利用google的特殊語法(index、inurl、filetype、admin)所組成的搜尋內容(俗稱為google hacking),可達到查詢網站漏洞的目的。

案例:
在google hacking中,利用index of的漏洞,可以找出整個網站的索引目錄,使得整體的網站內容一覽無疑的秀在使用者面前,更恐怖的是,只要點選每一檔案或熟悉資料庫連線方式的人,就可以看到該網站的連線數據,進一步取得資料庫的權限進行連線,以達到竊取個資的目的性。

而index of的漏洞,往往是因為網站伺服器安全性不足所導致,通常是appserv佔居多數,而windows作業系統也有可能發生的。


分析方式
當營運的網站發現有google hacking或index of問題時,應注意連線的資料頁面(wp-config.php)是否有遭存取的情況。

可從伺服器的日誌檔案中,找出相關的存取IP與頁面樣式來進行判斷。

小結
當網站發現在index of的漏洞,或是可使用google hacking(index of inurl /admin)之類的語法找出相關的漏洞,應該特別注意網站伺服器的設定方式,是否有將檔案存取的權限打開,造成網站不安全的主要因素。

不過當index of漏洞產生時,通常也代表整體網站架構被看光光了。應盡速更改相關管理者帳號密碼,並且通知會員資料進行修改才是。

2016年3月7日 星期一

[Visual Studio安全性]Visual Studio webconfig 組態檔加解密

簡介
當系統開發人員好不容易將程式碼撰寫完成且正式上架後,在面臨網站的環境中,一定會遭受到網路上惡意的攻擊,其中最主要的目的就是找出網站平台中,資料庫的連線內容,而前端的平台與後端的資料庫在連線的過程中,往往是透過前端的設定(webconfig)後,存取後端的資料庫。

此時,若網站被找出弱點後,webconfig的連線字串都被揭露在駭客的手中,還有什麼自保的方式呢?除了發現後立刻更改後端資料庫的密碼,以防被2次入侵(不過該方式是治標不治本的駝鳥心態,或許資料庫內的個資已被洩露出去了)。

那還有什麼方式是能提高網站安全性的呢? 就是在開發的環境中,加入資安的概念,保護好開發環境的連線內容,在數據傳輸的過程中進行加密,就算連線方式被駭客所竊取,也難以被利用。

webconfig 組態檔加解密教學操作方式

★注意:加解密必須在同一台機器上,否則會無法正常執行

加密 (Encryption)

1.將專案資料夾複製到預定的Server上

2.確定專案使用的Framework版本(本範例使用的是4.0)

3.開啟Command Mode,將路徑切換到C:\Windows\Microsoft.NET\Framework\(Frmework版本)下


4.執行以下指令進行加密:
aspnet_regiis.exe -pef "connectionStrings" "D:\WWWRoot\GoogleMap" -prov "DataProtectionConfigurationProvider"
其中:
"connectionStrings":針對組態檔內的connectionStrings標籤內的資料加密
"D:\WWWRoot\GoogleMap":專案的實體路徑

5.加密完成
開啟webconfig的設定檔案,可看出連線至後端資料庫的字串內容已被加密,多了層安全性。


解密(Decryption)

1.確定專案於Server上的路徑

2.確定專案使用的Framework版本(本範例使用的是4.0)

3.開啟Command Mode,將路徑切換到C:\Windows\Microsoft.NET\Framework\(Frmework版本)下

4.執行以下指令進行解密:
aspnet_regiis.exe -pdf "connectionStrings" "D:\WWWRoot\GoogleMap"
其中:
"connectionStrings":針對組態檔內的connectionStrings標籤內的資料解密
"D:\WWWRoot\GoogleMap":專案的實體路徑

5.解密完成
        至webconfig檔案內,開啟原先的設定內容,即可看到原先被加密的字串已被還原回來,此時可以再做更動修改後,別忘了再把檔案加密完成。

參考資料: