lin-learning,林的學習筆記: 01/01/2016

2016年1月27日星期三

[書籍]網站入侵現場鑑證實錄

網站入侵現場鑑證實錄介紹

Through the analysis of web log, analysts can use log parser lizard (LPL) to quickly understand hacking techniques, and then fix vulnerabilities. This book introduced the Information Security OWASP TOP 10 (information security) and the basic operation of log parser lizard (LPL) software.

前言
筆者先前實際處理過各種公司、網站平台所遇到網路攻擊事件，並經由實際案件的處理流程，整理出各式各樣的處理技巧後，又花費了一番心血匯整成書，順利出版了(撒花)。

而相關的介紹就不在贅述了，不妨請各位讀者們耐心的閱讀下去嚕~~

本書重著在資安事件的處理方式，並以筆者的觀點下去解析各類型的網路攻擊事件

適合對象
網管人員(MIS)
有心想要學習資訊安全領域的人(資安人員)
了解駭客攻擊手法等人員

簡介

本書主要是幫助當公司網站被駭客入侵，惡意的修改網站頁面或植入惡意程式(如:木馬、webshell)後，如何藉由日誌檔案(log)分析的方式，來查出駭客攻擊的過程，以還原一切的手法，相關的案例解說則是本書的重點，其簡介如下:

網站管理員往往是維護網站營運順利的重要角色，而一般的網站管理人員大多欠缺對於網路資安上的處理與分析能力，導致公司、企業的網站在面臨駭客攻擊後，往往不知所措找不到具有處理能力的人員，而錯失每次寶貝的事後還原分析的能力。個資法上路後，政府開始要求企業本身應保障使用者的個資，不得輕易外洩，但若從網路上來的攻擊如何作事後的分析並從中舉證駭客的攻擊手法，降低企業未來面臨的求償和營運風險呢？

本書以駭客使用網站攻擊的手法作為解析的重點，並以實務的分析經驗告知讀者如何分析駭客所遺留下來的數位證據，進一步發掘系統本身的漏洞加以修補，降低公司企業在網路上所面臨的風險。

ISBN：9789863478812

軟體工具下載
本書所使用的工具，則以 Log Parser Lizard為主，而相關的下載程式如下，若需最新版本的Log Parser Lizard軟體工具，請至官方網站下載最新程式，並進行試用後購買

官方載點:
http://www.lizard-labs.com/log_parser_lizard.aspx

本書程式下載點(google drive)
點我

其他教學影片範例與示範用的日誌檔案，均如下面載點

本書教學影片範例與日誌檔
http://linjsian.blogspot.tw/2015/08/TestLog-Download.html

若要進行即時交流與問題反應回饋，請加入本書籍臉書社團

臉書社團:
https://www.facebook.com/groups/1730797680472868/

本書購買管道
天瓏書局:
https://www.tenlong.com.tw/items/9863478814?item_id=1010826

博客來:
http://www.books.com.tw/products/0010704450

金石堂:
http://www.kingstone.com.tw/book/book_page.asp?kmcode=2014713479662

讀冊生活:
http://www.taaze.tw/sing.html?pid=11100773663

2016年1月26日星期二

[書籍]網站入侵現場鑑證實錄：資料隱碼攻擊(SQL injection)

分析資料隱碼攻擊(SQL injection)

前言：
根據每期OWASP TOP10的報告指出，資料隱碼攻擊(SQL injection)一直以來都是網站最常遭受的網路攻擊，舉凡有建立連結資料庫的網站均會受到此攻擊的影響，若網站資料庫連線安全機制未設定完全的話，即有可能遭受此攻擊下的受害網站。

因此分析人員除了需了解SQL injection外，應該學會如何分析日誌檔案內的相關記錄，以得知網站是否遭受駭客攻擊後，個資有無外洩的情況。

分析特徵碼：
與資料庫有關語法：--、%20--、’or’ = ’or’…等

影片教學：
針對常見的SQL injection攻擊模式，篩選出相關的特徵碼，以利分析人員進行日誌檔案的篩選。

書籍編號(ISBN)
ISBN:9863478814
ISBN-13:9789863478812

臉書社團:
https://www.facebook.com/groups/1730797680472868/

購買管道
天瓏書局:
https://www.tenlong.com.tw/items/9863478814?item_id=1010826

博客來:
http://www.books.com.tw/products/0010704450

金石堂:
http://www.kingstone.com.tw/book/book_page.asp?kmcode=2014713479662

讀冊生活:
http://www.taaze.tw/sing.html?pid=11100773663

[書籍]網站入侵現場鑑證實錄：目錄穿越攻擊(Directory Traversal)

分析目錄穿越攻擊(Directory Traversal)

前言：
目錄穿越攻擊(Directory Traversal)最明顯的特徵即是使用者可以在網頁上使用../的符號，來取代正常目錄，進而逐一拆解至網站的後台找出系統目錄的passwd、shadow檔案等。會造成Directory Traversal的主要原因是當初網站開發人員或MIS人員在設定網站時，未將系統目錄權限的安全設置完全，以導致網站出現相關的漏洞。

而最明顯的案例即為2013年1月份時，遠通電收官方網站出現的目錄穿越攻擊案例。

分析特徵碼：
與網頁目錄有關代碼：../、../../、 /etc/passwd 、 /etc/shadow等

影片教學：
分析與Directory Traversal有關的特徵碼教學。

[書籍]網站入侵現場鑑證實錄：跨站腳本攻擊(XSS，Cross Site Script)

分析跨站腳本攻擊(XSS，Cross Site Script)

前言：
跨站腳本攻擊(XSS，Cross Site Script)是一個針對網頁進行攻擊的惡意語法，駭客會先利用弱掃工具進行網站弱點掃瞄後，發現可植入的入侵點，即立刻將含有惡意導向的javascript、竊取cookie為主或其他會造成瀏覽者損害的語法，嵌入目標網頁內。

在分析的過程中，可查詢駭客在進行弱點掃瞄的XSS測試特徵碼，從被測試成功的特徵點，反向追查該特定頁面的網站原始碼，其原因如下：
因為XSS的特性是利用javascript的原理，將瀏覽頁面的使用者進行惡意轉址或竊取cookie的行為，其語法能順利執行的原因是，該惡意語法已經被嵌入網頁內部了，所以只能從被害網頁上進行code review(原始碼檢測)的動作，以查出惡意的語法所在。

分析特徵碼：
　與javascript有關語法：Script、%3CScript %3E、 </Script>、cookie等

影片教學：
分析如何從日誌檔案中，找出遭駭客攻擊的XSS特徵碼，並找出網站XSS弱點所在。

[書籍]網站入侵現場鑑證實錄：網頁遭置換或竄改(Web Defacement)

分析網頁遭置換或竄改(Web Defacement)

前言：
網頁遭置換或竄改(Web Defacement)的攻擊手法，主要是系統遭駭客入侵後，取得系統管理員權限，以進行更換網頁的手法，早期來說該手法目的主要是以惡意作劇性質居多，演變至現今情況，以架置跳板主機、惡作劇、中繼站性質居多。

通常網站會遭受駭客置換網頁上傳惡意程式(WebShell)，通常會有下列漏洞：

網站頁面有提供上傳功能，例如大頭貼、檔案等等，駭客利用經過偽裝副檔名的惡意程式，騙取系統的認證，待順利將惡意程式上傳至系統內部時，即遠端將惡意程式呼叫起來，進而取得系統管理員權限的帳號，以達到控制系統的目的。
系統本身的漏洞，在Windows Server 2003的作業系統中，有個WebDAV開發上傳機制，該漏洞可讓攻擊者利用特定的滲透工具進行弱掃後，找出有使用該功能的伺服器，進而達到攻擊成功後，將惡意程式上傳的目的。

因此，在分析日誌檔案的過程中，我們可以針對網站是否有提供上傳的功能、上傳檔案類型來作基本的篩選條件。

分析特徵碼：

　若遭植入WebShell則分析 ;.txt、;.asp 、;.jpeg 、...等常見偽裝副檔名
若是常見系統上傳漏洞則分析 WebDAV 、 ;.txt、;.asp...等常見偽裝副檔名

影片教學：
針對容易被偽冒的副檔名，進行日誌檔案的篩選分析。

訂閱：文章 (Atom)

2016年1月27日 星期三