# 系統安全 --- ### 主題動機 在數位科技化的時代，資訊網路與生活密不可分，網路攻擊事件發生率也逐年上升。使我意識到資訊系統安全的重要性，並藉由這次報告整理一些相關知識，使我能對系統安全有更進一步的認識、了解。 --- ## 資訊系統 ### 資訊系統的意義 1.將大量資料進行處理歸類，並透過控制系統的方式加以分析利用這些資料 2.使資料處理速度提升，提高作業效率 3.結合了軟體、硬體和遠距通訊網路等建立的系統，用來替企業組織蒐集、建立、製作和散佈可用的資訊。 ### 系統組成 1.硬體設備 2.作業系統 3.應用軟體 4.網站 --- ## 系統漏洞 ### 原因 **複雜**：大型的複雜系統會增加缺陷以及未預期檔案系統權限的可能性。 **熟悉**：使用常見、著名的程式，軟體，作業系統及硬體，若沒有經常更新系統，容易被攻擊者找到缺陷進行攻擊. **互連**：越來越多的實體連接、特權、通訊埠、通訊協定以及服務，每一項都會增加系統被攻擊的可能性。 **密碼管理缺陷**：電腦使用者的密碼若強度不足，可能會用暴力法破解。電腦使用者將密碼放在電腦軟體可以存取的地方。使用者在不同的程式和網站上使用相同的密碼 **基本作業系統設計缺陷**：操作系統設計者選擇的非最佳政策。例如使用預設允許政策的作業系統，給每一個使用者和軟體完整的權限可以存取整台電腦。作業系統的缺陷讓病毒以及惡意軟體可以以管理者的身分執行指令 **瀏覽網站**:有些網站可能會有有害的間諜軟體或廣告軟體，在瀏覽後會自動安裝在電腦中，可能會將個人資料傳送給第三方 **程式錯誤**：軟體開發者在軟體中留下了可利用的漏洞，攻擊者可以用這個漏洞來濫用應用程式 不適當的輸入驗證：程式假設所有使用者的輸入都是安全的，沒有檢查使用者輸入的程式，可貟會因為無意或刻意的輸入而造成問題，例如緩衝區溢位、SQL注入等問題 **沒有從過去的錯誤中記取教訓**：如大部份在IPv4通訊協定軟體上發生的漏洞，又在IPv6版本上出現 ### 常見漏洞 **SQL注入**: * 發生於應用程式與資料庫層的安全。 * 在輸入的字串之中夾帶SQL指令，在忽略了字元檢查的城市中，這些夾帶進去的惡意指令就會被資料庫伺服器誤認為是正常的SQL指令而執行，因此遭到破壞或是入侵。 **緩衝區溢位**: * 向程式輸入緩衝區寫入使之溢位的內容（通常是超過緩衝區能儲存的最巨量資料量的資料），從而破壞程式執行、趁著中斷之際並取得程式乃至系統的控制權。 * 緩衝區溢位原指當某個資料超過了處理程式回傳堆疊位址限制的範圍時，程式出現的異常操作。 **跨站指令碼(XSS）**: * 是一種網站應用程式的安全漏洞攻擊 * 惡意使用者將程式碼注入到網頁上，其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。 * 通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使使用者載入並執行攻擊者惡意製造的網頁程式。 ### 安全強化 **個人電腦**: 1.定時更新 2.使用最新軟體、防毒軟體 **網路環境**: 1.防火牆 2.入侵偵測系統 **系統與網路漏洞掃描**: 1.漏洞掃描: 漏洞掃描是指基於漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測（滲透攻擊）行為。 2.滲透測試: 指一個具備資安知識與經驗、技術人員，為僱主的網路設備、主機，模擬駭客的手法對網路或主機進行攻擊測試，為的是發掘系統漏洞、並提出改善方法 3.紅隊演練: ZUSO紅隊演練在於一個零時差（0-day）揭露概念，著重的方向在於客戶被駭客入侵時能抵擋資安能力程度與反應力。 --- ## Metasploit 旨在提供安全漏洞資訊電腦安全專案，可以協助安全工程師進行滲透測試及入侵檢測系統簽章開發。 使用Metasploit框架的基本步驟包括： * 選擇並組態一個攻擊代碼(exploit, 利用漏洞來進入目標系統的代碼）；檢查目標系統是否會被此代碼影響 * 選擇並組態一個有效負載 payload, 在成功進入後在目標系統上執行的代碼；例如，一個遠端殼層或一個VNC伺服器） * 選擇編碼方式，使入侵預防系統，忽略已被編碼的有效負載 * 執行攻擊代碼。 ## 總結 * 系統安全不可輕忽，只要有在使用科技產品，就應該對其有最基本的認識，以免受到有心人士攻擊威脅。 * 資料查找的過程不是很難，關鍵在於看過文章後，能否理解詮釋文章內容，並加以應用於生活中 * 通過查找系統安全相關資料，消化吸收後製作報告的過程，能使我對資訊安全相關知識，有更深入的了解，也挖掘了我對系統安全的興趣