Web Security

SAS 資訊安全 (11)

基本介紹

教學目標

初步了解在 SAS Viya 平台中資訊安全應用的基本概念。

重點概念

在 SAS Viya 平台中主要有四大資訊安全應用,分別為:

  1. 身份驗證
  2. 授權
  3. 加密
  4. 網站安全

首先身份驗證主要是驗證使用者或服務帳號識別,主要有三種驗證方式,分別為:

  1. Host Authentication
  2. Direct LDAP Authentication
  3. Dual Authentication

接著授權主要是決定使用者可以使用哪一些資源,在 SAS Viya 平台中授權階層主要由兩個授權系統所組成,分別為:

  1. CAS Authorization System
  2. General Authorization System

再來加密主要是透過轉換保護傳輸或儲存中的資料,針對 SAS Viya 平台的部署主要有兩種加密方式,分別為:

  1. Data in Motion
  2. Data at Rest

其中 Data in Motion 主要透過 TLS 安全連線保護傳輸中的資料,安裝 SAS Viya 平台預設會提供自簽憑證讓使用者能夠透過 HTTPS 安全連線直接存取 SASHome 網站。至於 Data at Rest 主要是設定資料加密的技術保護儲存中的資料,安裝 SAS Viya 平台預設不會啟動加密。

最後網站安全主要是處理不同類型的攻擊方式入侵網站應用程式,以及使用網站瀏覽器的安全功能,在 SAS Viya 平台針對網站安全風險主要有以下相關屬性,分別為:

  1. Cross-Origin Resource Sharing
  2. Cross-Site Request Forgery (CSRF)
  3. X-Frame-Options
  4. Content-Security-Policy
  5. X-Content-Type-Options
  6. X-XSS-Protection

總結 SAS Viya 平台相較於 SAS 9 平台針對身份驗證、授權、加密和網站安全有更完整的資訊安全應用,尤其是預設直接設定自簽憑證以利使用者進行安全連線,接著僅需更換自簽憑證為企業內憑證設定,理應就能滿足許多企業內部資訊安全最小需求。

相關資源

資安管理 WebGoat (1)

基本介紹

教學目標

初步了解 WebGoat 平台有系統學習網站漏洞,以利進行後續資安管理。

重點概念

首先 WebGoat 平台主要是由 OWASP 研究開發的弱點測試平台,主要是以 J2EE 進行開發的網站,其中設計了大量的網站漏洞,同時一步一步引導使用者如何利用這些漏洞進行攻擊的方式,以利我們學習資安管理。

接著請先從 OWASP WebGoat 專案官方網站,下載「webgoat-container-7.1-exec.jar」檔案,下一步執行下述指令就能開啟 WebGoat 平台。

1
$ java -jar webgoat-container-7.1-exec.jar

再來開啟瀏覽器輸入「127.0.0.1:8080/WebGoat」網址,下一步輸入使用者帳號和密碼為「webgoat」進行登入 WebGoat 平台,此時畫面的右方為課程分類,中間為課程內容主要有顯示程式碼、解決方式、目標與目的和提示等功能。左方為 HTTP 請求的資料主要顯示 Cookies 和參數。

最後課程分類主要以攻擊方式的類別為主,總共有十六個類別,每個類別還有許多不同的攻擊手法,分別為:

  1. Access Control Flaws
  2. AJAX Security
  3. Authentication Flaws
  4. Buffer Overflows
  5. Code Quality
  6. Concurrency
  7. Cross-Site Scripting (XSS)
  8. Improper Error Handling
  9. Injection Flaws
  10. Denial of Service
  11. Insecure Communication
  12. Insecure Storage
  13. Malicious Execution
  14. Parameter Tampering
  15. Session Management Flaws
  16. Web Services

總結我們可以透過 WebGoat 平台將能夠有系統的學習利用網站漏洞進行攻擊的手法,唯有清楚知道如何駭客如何攻擊網站,才能夠進行網站防守,同時目前許多企業的解決方案皆還是以 J2EE 平台為主,此時我們要能夠因應不同的攻擊手法採取適當的設定,以利達到適當的資安管理。

相關資源