SQL injection Attack Detection and Prevention Study

SQL Injection Attack一直以來都是網站的首要風險，依據OWASP TOP 10的分析文件，我們知道SQLIAs是一個易於被利用，且影響重大的攻擊方式，透過一些簡單的文字(SQL Queries)甚至可以直取資料庫的資料，取得權限，修改資料，惡意損毀等重大安全事件，此篇論文中提到多種攻擊模式與偵測防禦機制，研究者本身透過靜態分析的方式，標示易受攻擊的SQL Query，然後用數學運算將身分鑑別過程最佳化，以較複雜的組合，提升攻擊的難度。已將資料整理如下簡報中。

Preventing SQL Injection Attacks based on Query Optimization Process

ITIL V3 Foundation 5 Phase

ITIL( Information Technology Infrastructure Library)，是一種IT服務管理架構，透過五個階段將IT科技以服務的概念去建置，畢竟IT最終目的還是提供人們使用，所以其實這樣的架構概念適用性很廣，它很像是一種介於商業活動與技術的一個橋樑，減少技術人員設計出來的產品與商業行為有落差，畢竟用戶了解的是業務活動，而IT人員熟悉的是技術，想法自是不同，所以以ITIL架構來看，服務的策略與設計階段有非常多的管理流程，也占了五個階段所有管理流程的一半，幾乎所有開發案的初期都決定了後續作業成功率，ITIL也不例外，所以前期會有很多要思考要調查要整理的物件，此階段也決定了後續實際運作是否能真正滿足客戶對服務的要求。


ITIL V3 Foundation 5 Phase  

Risk Management Case Study

軟體安全的風險管理架構(可參閱軟體安全簡介)，了解業務內容->辨識商業風險->辨識技術風險->風險綜合分析->降低風險的策略，此篇的範例，主要是簡述整個階段的過程。主要針對商業風險與技術風險簡單列出幾項，並說明其影響性及可能性等程度，及減緩風險的對策擬定

風險分析管理範例

OpenSSL-加密系統操作

OpenSSL軟體包含多種各種對稱與非對稱加密演算法，可至下列連結處下載該軟體

Windows OpenSSL install step，請參考下圖說明

http://blog.chinaunix.net/space.php?uid=20479991&do=blog&id=216269

此兩個附檔為加密演算法的實際操作步驟

DES/AES 加解密 

RSA/MD5/SHA-256加解密

Microsoft Azure Register

微軟雲端服務平台，註冊可享3個月免費試用，包含網站，雲端資料庫，虛擬機，應用程式平台可供用戶架設測試，下列連接為註冊過程

Microsoft Azure Register

ITIL V3 Foundation

ITIL( Information Technology Infrastructure Library)，是一種IT服務管理架構，下表將ITIL的五個階段中的各重點大略描述，包含目的，概念，流程，功能性，目標，角色，活動，績效指標KPI等。

ITIL 彙整表

上列左至右為ITIL導入個階段，從服務的策略擬定，服務設計，服務轉換，服務運作，持續改善，左側欄位為各階段中需要的管理流程，從財務管理一直到持續改善的步驟。每個管理流程，可參閱ITIL彙整表的簡述，可形成一管理矩陣。

2010-2012 Trend of Hacking

2010~2012年駭客年會中討論議題之分析圖表，敘述如下

1. 2010年以Web安全方面研究最多，其次為作業系統如Windows，Oracle DB，SAP，及一些應用軟體的安全，接著雲端和虛擬化的安全也多所涉略。
2. 2011年除Web安全外，手機、行動裝置等安全議題探討較多，其次為作業與應用系統和軟體開發的議題，此年較為平均
3. 2012年主角改為手機系統，其次為軟體開發議題，尤以sandbox探討最多，其中有一議題，硬體後門，可感染上百台不同型主機板頗為特殊。

Black Hat USA 2010
Black Hat USA 2011
Black Hat USA 2012

軟體安全簡介

軟體安全的心智圖，主要分為三大支柱，風險管理，7Touchpoint，相關知識，而所有均發展於軟體開發週期中(SDLC)。以下簡略說明三大支柱

一.風險管理:是軟體安全的核心要項，而風險分析亦是風險管理框架的中心，依據下圖所示，風險分析在一開始的業務需求和架構設計階段就開始實施，而後面再出現一次是測試階段，也就是依據之前所風險分析之結果進行測試。風險管理框架是一個循環的流程，如下圖右上所示:

• Step1.從一開始的對於客戶需求的詳細了解
  Step2辨識此業務需求上會有哪些風險，例如購物網站上交易的安全風險
  Step3辨識技術上的風險，例如Buffer Overflow，SQL injection等
  Step4是將前兩的階段所辨識出來的風險做綜合與等級上的區分整理
  Step5是決定降低風險的策略
  Step6執行處置風險的策略
  Step7確認風險處置是有效的

這是風險管理的步驟，而每個步驟亦有其各項措施不再此述，

二.Touchpoints:其中有七項分布在六個開發步驟(SDLC)，如下圖左上所示，(每項上面所標示的數字表示其重要程度，不表示順序)

1. 從客戶需求階段需要的重點
• Abuse Case:惡意使用的案例分析避免遭受惡意操弄
• Security Requirment:客戶系統的安全要求了解
• Risk Analysis:從商業上進行分析，引用風險管理的步驟，了解有哪些風險
2. 軟體架構與設計
• Risk Analysis:從技術上進行分析，引用風險管理的步驟，了解有哪些風險
3. 擬定測試計畫
• Risk-based Security Text:依據風險分析的結果擬定測試計畫
4. 程式開發
• Code Review:利用工具進行原始碼檢測，如RATS，ITS4都是檢測工具，找出是否有不當的程式邏輯會造成bug
5. 系統測試
• Risk Analysis:依據分險分析結果和測試計畫進行測試
• Penetration Text:對系統進行滲透測試，看是否有漏洞，通常會委由專人進行
6. 回饋報告
• Penetration Text:對系統進行滲透測試，看是否有漏洞，通常會委由專人進行
• Security Operations:系統作業的安全

三.知識 :是支持整個軟體安全所需的基礎，分為三種類別七種類型的知識，如下圖右下所示

1. 規則類
• Princlpies:安全的原則，模型等
• Guidelines:安全的指引
• Rules:安全的規則，標準等
2. 特徵類
• Attack Patterns:攻擊的形式
• Vulnerabilities:應用系統，作業平台等弱點
• Exploites:可被攻擊利用的
3. 歷史類
•  Historical:過去的攻擊事件，漏洞，弱點等歷史資料

Aircrack-ng 實作

無線裝置安全性測試，環境Linux Ubuntu，TP-Link Wireless USB ，工具 Aircrack-ng，安裝及測試步驟如連接附件說明。因密碼檔僅有英文及數字組合，因此對複雜密碼之猜測無效。需有更大量字典檔案。

Aircrack-ng

公鑰加密應用於Kerberos認證研究探討

PKI架構運用於Kerberos認證之實作研究簡報

Public-Key Cryptography Enabled Kerberos Authentication

連線劫持研究探討

TCP連線劫持實作探討，以Windows Mesenger 協定為劫持演練對象，篇中論及MSN Protocal Client 與Server運作方式，用戶之間如何溝通，展示MITM，重送攻擊等駭客手法，為更清楚連線劫持攻擊，也應對TCPIP的封包更多了解。

TCP/IP Securtiy

Application-Based TCP Hijacking