網路攻防與技術應用 - 期末報告

# 網路攻防與技術應用 - 期末報告 ## 弱點掃描報告補充 - 以公司的LineBOT主機、LineBOT Webhook URL為受測目標 ## 一、網站密碼-暴力破解 **將owasp zap 的本地代理設置成127.0.0.1 端口8080** ![](https://i.imgur.com/Dl60v1g.jpg) **啟用電腦的Proxy網路代理** ![](https://i.imgur.com/m3RcoE6.jpg) ![](https://i.imgur.com/AKwWOKj.jpg) **先隨意輸入用戶名即密碼，查看OWASP ZAP該筆封包** ![](https://i.imgur.com/wZ0mjXc.jpg) **選取封包容中username的值，右鍵選擇攻擊 Fuzz模糊测试** ![](https://i.imgur.com/TxrdEA1.jpg) **先刪除原值** ![](https://i.imgur.com/PQdCt3c.jpg) **點擊新增** ![](https://i.imgur.com/w9PpKoy.jpg) ![](https://i.imgur.com/J0Pzey7.jpg) **可以選擇字串或是使用字典** ![](https://i.imgur.com/Fty5ylC.jpg) **帳號、密碼都是相同操作，完成後點擊Start Fuzzer** ![](https://i.imgur.com/h4h6u4M.jpg) **結論：錯誤5次，鎖住帳戶一段時間，有一定的安全性，但未能知道是否為弱密碼，須提醒公司注意。** ![](https://i.imgur.com/grHUCzF.jpg) ## 二、主機ssh密碼暴力破解 * **Ubuntu的默認root密碼是隨機的，即每次開機都有一個新的root密碼。** * **猜測有user帳戶，執行密碼暴力破解** * **先產生0~9組成的4位數密碼檔** * **medusa使用該密碼檔執行暴力破解** ![](https://i.imgur.com/lNNtoo0.jpg) * **密碼破解成功** ![](https://i.imgur.com/hRhp6Jy.jpg) ## 三、防護建議 [**參考政府的資通系統防護基準**](https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh) * **建立帳號管理機制，包含帳號之申請、建立、修改、啟用、停用及刪除之程序。** * **停用Administrator帳號，並禁止共用帳號、預設密碼。。** * **密碼應強制==最低密碼複雜度==** * **登入具==帳戶鎖定機制==，失敗達5次後，至少15分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。。** * **==遠端存取==僅限以==內部網路==特定==IP白名單==連線至系統管理後臺，並禁止使用VPN連線。** * **==啟用HTTPS==** [**參考 OWASP Top 10 for 2021**](https://owasp.org/Top10/zh_TW/) ![](https://i.imgur.com/T6e7fgv.png) * **A02:2021 – 加密機制失效** * **期中的系統弱掃** * **Nessus共2個中風險，都是ssl問題；** * **OpenVAS共2個中風險，其中之一為ssl問題，另一個為MQTT未啟用身分認證** * **如何預防：** * **使用安全的協定加密傳輸中的資料，像是有完全前向保密(PFS)、伺服器加密優先順序(cipher prioritization by the server)及安全參數的TLS。使用像是HTTP強制安全傳輸技術(HSTS)的指令強化加密。** * **A04:2021 – 不安全設計** * **期中的網頁弱點掃描** * **共7個中風險、3個低風險，大都是不安全設計導致** * **如何預防：** * **建立與使用安全開發生命週期並且協同應用程式安全的專業人士來評估與設計安全與隱私相關的控制措施。** * **建立與使用安全設計模式的函式庫或是已完成可使用的元件。** * **使用威脅建模在關鍵的認證、存取控制、商業邏輯與關鍵缺陷上。** * **撰寫單元測試與整合測試來驗證所有的關鍵流程對威脅建模都有抵抗。**