網路安全 @ INFOR

網路安全 Alexander Shieh @ INFOR 2014/9/11

今天會講到什麼 • 重新認識網⾴頁、網路 • Cookie, Session, CookieSession • 代碼注⼊入Injection：跨站指令XSS、SQL Injection
• 阻斷服務DDoS • VPN & Proxy • 密碼學Cryptography：DH、RSA、ECC、數位簽章

放輕鬆今天不會有很多實作抱持著愉悅的⼼心情就好

什麼是網⾴頁 • HTTP Request • Cache • TCP/IP • 下載IG圖⽚片
• 下載FB影⽚片 • Facebook帳號保安

TCP/IP

TCP/IP • Application (HTTP/SSL/FTP…) • Transport(TCP) • Network(IP) • Physical(PPP)

TCP/IP • Application (HTTP/SSL/FTP…) • Transport(TCP) • Network(IP) • Physical(PPP)
我現在不想講這個

• Developer Tools • Resources • Frames>Images

• chrome://cache/ • ﬁnd mp4

! SQL Injection • 隨便打個’或是’ or ‘1’ = ‘1 •
如果加⼀一些其他的東⻄西怎辦www • 不要去打夢駝林會被ban ip

XSS • 撈cookie=>XSRF • ⾃自⼰己盜⾃自⼰己的帳

如何在網路上匿名 Stay Anonymous Image: http://manurevah.com/blah/en/blog/ISP-vs-VPN-vs-Tor CC-BY-NC-SA

原本上網的⽅方式

• 架在網際網路上的私⼈人網路 • 因為Tunnel所以可以換IP(Encrypted, Encapsulation) • IPSec, SSL VPN •
Open VPN VPN

• Image: https://www.torproject.org/about/overview

• Image: https://www.torproject.org/about/overview Random Circuit Every 10 min

Cryptography • Image: http://www.di.ens.fr/~pnguyen/

囧rz • Cryptographic Hash Algorithm

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法 • AES/DES

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法 • AES/DES •
⾮非對稱式加密

⾮非對稱式加密 • Difﬁe-Hellman Key Exchange

⾮非對稱式加密 • Difﬁe-Hellman Key Exchange • RSA Public Key Cryptosystem

⾮非對稱式加密 • Difﬁe-Hellman Key Exchange • RSA Public Key Cryptosystem • Elliptic Curve Cryptography

⽣生活中的例⼦子 • TLS/SSL=>HTTPS • ⾃自然⼈人憑證 • http://smartfacts.cr.yp.to/ smartfacts-20130916.pdf • Bitcoin
• http://hitcon.org/2014/ downloads/E1_06_Chris %20Lin%20-%20Bitcoin %20Security.pdf

監聽封包 • 因為 802.11有監聽模式，但在監聽模式不能傳送也不能攔截，只要未加密過的連線都有可能看到明⽂文 • 主要的兩個技術： • http://en.wikipedia.org/wiki/Promiscuous_mode •
http://en.wikipedia.org/wiki/Monitor_mode

Wireshark

Capture Options

網路安全 @ INFOR

網路安全 @ INFOR

tewei

More Decks by tewei

Other Decks in Technology

Featured

Transcript

網路安全 Alexander Shieh @ INFOR 2014/9/11

今天會講到什麼 • 重新認識網⾴頁、網路 • Cookie, Session, CookieSession • 代碼注⼊入Injection：跨站指令XSS、SQL Injection

放輕鬆今天不會有很多實作抱持著愉悅的⼼心情就好

什麼是網⾴頁 • HTTP Request • Cache • TCP/IP • 下載IG圖⽚片

TCP/IP

TCP/IP • Application (HTTP/SSL/FTP…) • Transport(TCP) • Network(IP) • Physical(PPP)

TCP/IP • Application (HTTP/SSL/FTP…) • Transport(TCP) • Network(IP) • Physical(PPP)

TCP/IP • Application (HTTP/SSL/FTP…) • Transport(TCP) • Network(IP) • Physical(PPP)

• Developer Tools • Resources • Frames>Images

• chrome://cache/ • ﬁnd mp4

! SQL Injection • 隨便打個’或是’ or ‘1’ = ‘1 •

XSS • 撈cookie=>XSRF • ⾃自⼰己盜⾃自⼰己的帳

如何在網路上匿名 Stay Anonymous Image: http://manurevah.com/blah/en/blog/ISP-vs-VPN-vs-Tor CC-BY-NC-SA

原本上網的⽅方式

• 架在網際網路上的私⼈人網路 • 因為Tunnel所以可以換IP(Encrypted, Encapsulation) • IPSec, SSL VPN •

• Image: https://www.torproject.org/about/overview

• Image: https://www.torproject.org/about/overview

• Image: https://www.torproject.org/about/overview Random Circuit Every 10 min

• Image: https://www.torproject.org/about/overview Random Circuit Every 10 min

• Image: https://www.torproject.org/about/overview Random Circuit Every 10 min

Cryptography • Image: http://www.di.ens.fr/~pnguyen/

囧rz

囧rz • Cryptographic Hash Algorithm

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法 • AES/DES

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法 • AES/DES •

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法 • AES/DES •

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法 • AES/DES •

囧rz • Cryptographic Hash Algorithm • 對稱式加密演算法 • AES/DES •

⽣生活中的例⼦子 • TLS/SSL=>HTTPS • ⾃自然⼈人憑證 • http://smartfacts.cr.yp.to/ smartfacts-20130916.pdf • Bitcoin

監聽封包 • 因為 802.11有監聽模式，但在監聽模式不能傳送也不能攔截，只要未加密過的連線都有可能看到明⽂文 • 主要的兩個技術： • http://en.wikipedia.org/wiki/Promiscuous_mode •

Wireshark

Capture Options