Web Security Notes

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 8 – HTTP STRICT TRANSPORT SECURITY 作者：John Melton 內文： Safe path. What is it and why should I care? HTTP強制安全傳輸技術，強制所有瀏覽器只能透過SSL或TLS連線到網站。 只要在HTTP網頁標頭加上特殊的HSTS，支援HSTS的瀏覽器就會限定只能經由HTTPS連線。以下是流程： 第一步，使用者造訪網站，不論透過HTTP或HTTPS。通常大部分是HTTP。 第二步，網站輸出網頁，內容包含HSTS標頭。90天內都只能透過HTTPS連線。 第三步，支援HSTS的瀏覽器90天內都不會送出 "非SSL" 的要求給網站。

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 7 – CONTENT SECURITY POLICY 作者：John Melton 內文： Please follow our rule. What is it and why should I care? 網頁內容安全政策(CSP)是 Mozilla 推出最新的技術，在網頁應用程式多加上一層保護。可以阻擋  XSS  的攻擊和  點擊綁架  。XSS是很複雜的議題，OWASP防禦守則針對一般XSS和DOM的XSS。CSP 能夠幫助開發者解決XSS。 Whitelist Content Locations  網頁內容網址的白名單 XSS如此嚴重的原因是，瀏覽器會主動相信伺服器端傳來的內容。即使這些網頁被修改過或從來自意料之外的網址。 CSP主要是針對這些問題，讓開發者可以透過CSP制定網頁內容網址的白名單 。 No Inline Scripts  禁止指令碼 攻擊者將指令碼加入到網頁內容中是導致XSS的原因。一般而言，瀏覽器無法分辨網頁內容是否完全來自於網站，或是者植來自攻擊入的內容。CSP可以隔離內容和程式碼以避免XSS。這表示，你必須限制所有指令碼只放在外部檔案。要達成這樣的效果，需要花點心力(Twitter的網站是個使用CSP的好範例)。 CSP的用意在於，讓攻擊者滿足三個條件才能XSS 第一步，插入一段惡意指令碼到你的網頁。 第二步，惡意指令碼掛到你的受信任白名單中的來源網站。 第三步，控制該受信任的網站。 制定CSP，讓XSS攻擊更加困難。

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 6 – CSRF PREVENTION IN JAVA 作者：John Melton 內容： What is it and why should I care? 跨站請求偽造攻擊(CSRF),是一種受害者在不知不覺中，以自己合法的身分向某個網站執行一段指令。原本，合法"身分證明"通常存存放在客戶端的cookie，而使用者每一次向網站要求服務都需附上身份證明。若存在漏洞，攻擊者可以假借受害者的身分向某個沒有抵抗CSRF的網站，執行幾乎所有要求。 以下是CSRF的運作圖：

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 5 – CLICKJACKING PREVENTION 作者：John Melton 內文： Do what we say so. What is it and why do I care? 點擊綁架屬於 "web framing" 或 "UI redressing" 攻擊。實際上的流程如下： 1. 一個受害者正瀏覽無害的網頁(假設是影片網站) 2. 無害的網頁上層有另一個透明的網頁(通常是很重要的功能，像是社交網站中的加為好友)。 3. 受害者點擊他看到的影片，但實際上是點擊覆蓋在上層透明的網頁(通常是有害的)。 很聰明的攻擊方式，現實中的攻擊有很有意思(更多資訊請點選 這裡  )。

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 4 – SESSION COOKIE HTTPONLY FLAG 作者：John Melton 內文： What is it and why do I care? Session cookies(或是包含 JSESSIONID 的 cookie)用來管理WEB應用程式的 Session。這些 Cookies 包含特定使用者的 Session ID 的參考值，而同樣的 ID 也放在伺服器端並可識別該使用者其他的 Session 資料。這是最常用的管理方式，因為 cookies 會隨著每次 request 送出。 HttpOnly flag 作用是預防攻擊者透過 XSS 弱點獲得 session cookie。一旦 XSS 攻擊者成功，攻擊者便可以挾持受害者的 session 以合法身分登入。HttpOnly flag 對於這種攻擊十分有效。

來源： NakedSecurity and ComputerWorld UK 標題：Metropolitan Police malware warning issued - beware the ransomware attack! 作者：Anh Nguyen 內容： ComputerWorld網站今天報導英國警察局，有一種惡意軟體會欺騙Windows的使用者，讓人誤以為留言來自於電腦警察。此綁架攻擊會鎖住電腦，且顯示來自執法部門的非官方的訊息，表示受害者的電腦被判定瀏覽不合法的網站。 並提示，罰錢才能復原電腦功能。目前有數種版本的訊息：下圖其中一種 文法不是很好的警告訊息如下：

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 3 – SESSION COOKIE SECURE FLAG 作者：John Melton 內文： What is it and why do I care? Session cookies(或是包含 JSESSIONID 的 cookie)用來管理WEB應用程式的 Session。這些 Cookies 包含特定使用者的 Session ID 的參考值，而同樣的 ID 也放在伺服器端並可識別該使用者其他的 Session 資料。這是最常用的管理方式，因為 cookies 會隨著每次 request 送出。 Secure flag是用來限制 cookies 只能透過 HTTPS 加密傳送。這能保證你的資料不會以明文方式被攻擊者偷取，進行中間人攻擊(man-in-the-middle attack)。Secure flag 並非完整的解決方案，仍是重要的一步。

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 2 – ERROR HANDLING IN WEB.XML 作者：John Melton 內文： What is it and why do I care? 作者在  另一篇文章  討論過這個議題，你也可以在 OWASP的 TOP 10 找到相關資訊。本篇將介紹重點。通常，網站的錯誤或例外情形管理很容易被忽略。由於涵蓋範圍廣泛，作者只介紹J2EE的WEB應用程式。 事實上，一般人對於例外情形管理的最大煩惱之一是你並沒有" 確實的管理例外情形 "。反而是你的程式碼或是第三方的程式碼，常讓例外情況跳出來。當例外情況發生時，此時已到程式的邊界(boundary)。通常，預設情況會將所有例外堆疊紀錄(exception stack trace)列印出來。這是個大問題，這些資訊給予攻擊者太多參考資料，針對你的系統作進一步的分析。

來源： 資料來源  標題：Anonymous Explains CIA Takedown 作者： http://gizmodo.com 內容： 花了幾天時間，Anonymous的代表(假使有的話)給了 Gizmodo 一份聲明稿。 以下是未曾修改的內容：(註：我有改過排版，原文請點 資料來源 ) 全球的民眾們， 我們是 Anonymous 。  我們跟你一樣是普通人，我們不是機器，我們不是沒有人性。 我們是人類，我們也是所有人。  那就表示，我們跟所有人一樣都會判斷錯誤、犯下錯誤。 

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 1 – SESSION FIXATION PREVENTION 作者：John Melton 內文： What is it and why do I care? Session 固定攻擊，屬於 Session挾持攻擊的一種。一般攻擊流程如下： 第一步，攻擊者取得網站發出的合法Session ID。 第二步，攻擊者強迫受害者使用同樣的Session ID。 第三步，攻擊者確認該Session ID已使用，且受害者已登入。攻擊者便可以用受害者身分登入。 第二步是攻擊者的主要手段，執行方式通常是攻擊者送出包含Session ID的惡意連結給受害者。當使用者A能夠存取使用者B的帳號時，很明顯的會產生嚴重問題。

來源：  http://thehackernews.com 標題：Hackers Claims to compromise Intel's Sensitive Data 內文： 一名自2012年來宣稱已經突襲AOL, NASA, Hotmail, Myspace, Xbox, USBANK, Yahoo, and VISA─代號"WeedGrower"或"X-pOSed"的資安研究人員，日前他公布某些網站的敏感資料。 駭客們宣稱他攻陷了Intel內部，且取得使用者信用卡之類的資料。他發現能以登入者透過某些頁面存取Intel的資料庫，他也不客氣的得到信用卡號、社會安全碼、EMAIL和密碼。不僅如此，這名駭客表示若Intel不回應他的需求的話就要公布這些資料。 駭客說，「我仍要給那些假的資安人員一些掌聲。我放過Intel一馬，我讀取了你們的資料庫且還有另一個弱點存在。我會仁慈的不公布那些敏感資料，但我會放出一些照片證明我抓到了信用卡資料。」

來源： Forbes  標題：Hacked Syrian E-mails Advise Pres. Assad That 'American Psyche Is Easily Manipulated' 作者：Parmy Olson 內文： 一群自稱與 Anonymous為盟的駭客公布了敘利亞政府的EMAIL，包括了總統 Bashar al-Assad 再接受ABC專訪前，媒體顧問曾建議總統「美國人很好騙」。 以色列Haaretz報紙首先報導這些信件。其中一封信是ABC專訪十天前，由敘利亞駐聯合國大使寄給總統的媒體顧問Bouthaina Shaaban。 Jaafari寫道，「最嚴重的"錯誤"是我們在危機一開始並無良好組織的"警力"。雖然發生了"錯誤"，但我們只要表現出正在"處理錯誤"，很容易操控美國人心。」