HOME 回資訊服務處首頁 Login
ITs通訊
搜尋電子報


含詳全文
訂閱電子報
請輸入E-Mail
 
 
2010.08.05 2010年第16期 設為首頁 | 加入最愛 | RSS 訂閱
最新電子報 | 上一期 | 下一期 | 各期電子報


   
中央研究院計算中心通訊
中央研究院計算中心發行
2010年第16期   民國99年8月5日
簡訊
近日發現釣魚郵件 請提高警覺勿受騙

 近日有人冒用eresource@sinica.edu.tw名義,以大量英文釣魚信件寄至院內,企圖騙取同仁Email帳號密碼,請同仁提高警覺,切勿受騙。

 此一偽造信件內容為:

 偽造網站為:

 同仁收到這類釣魚信件,請逕自刪除即可,切勿回覆提供密碼或任何個人資料。若已回覆帳號密碼,則請儘速變更密碼,以避免帳號遭盜用。如仍有任何疑問,請洽詢中心服務台,聯絡電話2789-9245。

Top

第八屆「兩岸三院資訊技術交流與數位資源共享研討會」9/6-8舉辦

 第八屆「兩岸三院資訊技術交流與數位資源共享研討會」訂下(9)月6-8日舉行(9/6-7兩天場地於本院人文館、9/8場地在法鼓佛教學院),預計140人與會。

 自91年起,本院即與大陸中國科學院、中國社會科學院持續輪流主辦本研討會,今年輪由本院主辦。參與協辦單位為史語所、資創中心「數位典藏專題中心」及法鼓佛教學院,承辦單位為計算中心。

 本會共有來自中國科學院、中國社會科學院及本院等80多位專家學者與會,議程中安排3場主題演講、3場聚焦主題場次,以及「生態研究」、「GIS」、「科普」、「資訊服務」、「資訊技術應用」、「資料庫管理與應用」、「資安管理」、「高等教育」、「電子資源」、「數位佛學典藏」及「計算資源」等併行場次,共計75篇報告。

 為加強觀摩交流,將提供名額供本院數位典藏計畫及法鼓佛教學院師生報名參加。會議相關資訊請見活動網址

Top

「本院基礎地理圖資共享平台」網站上線

 為方便院內同仁瞭解「本院基礎地理圖資共享平台」相關資訊,中心GIS組已針對「本院基礎地理圖資共享平台」網站(http://www.ascc.sinica.edu.tw/gis/onlinemap)進行建置工作,以提供與基礎地理圖資共享平台有關之資訊。同時為簡化院內同仁使用圖資的申請手續,網站亦提供線上申請表單,歡迎院內同仁多加利用。若有任何建議或意見,歡迎透過網站上的聯繫管道與我們聯繫。

Top

完成生多中心及學人宿舍大樓光纖骨幹網路建置案驗收

 為擴充本院五棟大樓光纖網路纜線,中心近期辦理「生多中心及學人宿舍等大樓光纖網路纜線建置」採購案,說明如下:

  1. 生多中心黃樓至植微所溫室光纖網路建置:該中心因研究需要,協助於植微所溫室之實驗室佈設光纖網路連結至該中心黃樓。
  2. 生醫所及分生所學人宿舍連外光纖網路更新:本院興建「學人寄宿舍」必須開闢6公尺聯外道路,為避免因而造成臨近生醫所及分生所學人宿舍網路中斷,先行為其佈設替代光纖網路。
  3. 總務組環安衛小組辦公室(原廢水廠)連外光纖網路更新:該建物原有多模光纖纜線,經超過9年使用後,已有品質劣化現象,影響網路傳輸速率,協助其更新為單模光纖纜線(適合長距離傳輸),以提升網路服務品質。
  4. 植物分子育種溫室聯外光纖網路遷移:配合總務組辦理電信纜線地下化管道埋設作業,將該溫室聯外光纖網路進行小規模遷移。

 本案各大樓光纖骨幹網路建置已於上(7)月12日完工,並於7/26日完成驗收。

Top

歡迎參加「資訊安全基本概念與資訊安全管理系統介紹」課程

 為讓同仁瞭解資訊安全之重要性,並認識ISO/IEC 27001資訊安全管理系統國際標準以及風險評鑑基本觀念,中心安排於本(8)月25日下午13:30-17:30(共4小時)假人文館3樓遠距會議室舉辦「資訊安全基本概念與資訊安全管理系統介紹」課程,歡迎院內資訊室同仁或對資安有興趣之同仁踴躍報名(報名表下載)參加。

 本項課程大綱如下:

  1. 資訊安全基本概念。
  2. 資訊安全管理系統(ISMS)簡介。
  3. 本院資訊安全架構規劃。
  4. 風險評鑑簡介。
Top

持續參加「臺灣OCLC管理成員館聯盟」第4年計畫案

 自本(99)年度起,由中心承辦繼續參加「臺灣OCLC管理成員館聯盟」第4年計畫案,所需經費已由「圖資相關資料庫採購與維運評估小組」建請院方支援,並獲同意撥款。中心正進行採購作業,並預訂於8/10上午假中心會議室辦理測試驗收,屆時將邀請院內三組圖書館相關人員協助會驗。

 另外,臺灣代理商文崗資訊股份有限公司將在8月分舉辦教育訓練課程,報名截止日期為8/24,上課時間為8/26下午14:00-16:30,地點假臺北科技大學(地址:臺北市忠孝東路三段1號)進行,院內各圖書館(室)若有需求,請派員就近參加。

Top

「2010台北電腦應用展」8/5-9假世貿展出

 由外貿協會及台北市電腦公會共同舉辦的「2010台北電腦應用展」將於本(8)月5-9日假台北世界貿易中心展覽1館展出,因應科技新趨勢及環保潮流,今年以「Touch雲端,3D新視界」為訴求,有興趣同仁可逕往參觀。

 本次展覽期間開放民眾免費參觀,展區規劃分為:電腦系統品牌區、電腦系統通路區、週邊設備區、數位影音產品區、資訊軟體服務區、行動應用區、數位娛樂區及漾潮科技館。主辦單位並將邀請專家於主題日講座中教導民眾如何挑選合適的3C產品以及實際應用,以增進民眾之3C常識。有關展覽之相關訊息暨各項活動內容,請連線活動網址查閱、參考。

Top

資訊應用
SkyDrive免費網路儲存空間

前言

 在電腦科技發達的今日,人們手邊的許多文件、工作內容、照片及影片等資料,大多存成為數位檔案。但這些檔案卻以電子訊號、磁性或光學等形式儲存在媒體或設備中,隨時有著損壞及消失的危險。因此,定期的將資料備份在不同的地方,就顯得非常重要了!如此,不僅可以降低多年的心血或正進中的工作內容可能瞬間消失的風險,此外,正在進行修改的檔案,若能儲存在網路的服務中,無論到任何地方,只要有部上網的電腦,就能繼續進行工作,那將是多方便的事。網路儲存空間的服務,正是提供你異地備份及行動工作的解決方案。

 網路上有眾多的儲存空間服務,其中有收費的、有免費的、有供企業用戶備份檔案的,有供檔案分享的及有特別提供儲存照片用的,琳瑯滿目,令人眼花撩亂,不易挑選。本文介紹由微軟提供的SkyDrive網路空間服務,是一個提供25GB空間的免費服務。假如您已經是MSN即時通訊服務或Hotmail電子郵件服務的用戶,那就更容易開始使用了,因為SkyDrive服務的登入帳號就是使用Windows Live ID;如果您還沒有帳號,免費申請一個也是易如反掌之事。

SkyDrive服務的特點如下:

  • 總容量:25GB
  • 費用:免費
  • 服務類別:與Windows Live服務整合的文件儲存空間
  • 帳號:Windows Live ID(MSN或Hotmail帳號)
  • 權限保護:資料夾權限分為個人用、分享及公開三種
  • 單一檔案大小:最大50MB
  • 功能擴充:功能持續與Windows Live服務成長中

操作說明

 以下簡略說明如何登入SkyDrive服務、建立新資料夾、上傳/下載檔案及連線為網路磁碟機等功能的使用方法。

1.登入SkyDrive服務

 使用瀏覽器進入網址:http://skydrive.live.com/

 假如沒有MSN帳號、Hotmail帳號或Windows Live ID,請先點選「註冊」,建立新的帳號。在畫面右側登入的部分,Windows Live ID帳號的格式為電子郵件地址。例如:example666@hotmail.com。輸入帳號及密碼後,按「登入」就可以開始使用了。

 假如登入SkyDrive後,顯示的畫面不是SkyDrive的功能,請先將游標移到畫面左上角「Windows Live」上,再點選「SkyDrive」功能即可,如下圖:

 登入後,正常顯示的畫面如下:

 畫面左側顯示各項操作的選項及各資料夾,畫面右側顯示目前的用量。

2.建立資料夾、設定權限及刪除

 SkyDrive中資料夾的權限分為「自己」、「分享」及「公用」3種。權限設定為「自己」時,只有自己在登入時,才能讀取及修改;權限設定為「公用」時,是對任何人開放讀取的權限。資料夾及其權限的操作方式說明如下:

(1) 建立資料夾
 在各項功能操作列上,點選「新增」功能,再點選「資料夾」,如下圖:

 出現「建立資料夾」畫面如下:

 在「名稱」欄位,輸入新資料夾名稱。「共用權限」欄位顯示內定的權限設定,可以點選「變更」改變使用權限。

(2) 設定資料夾權限
 在「共用權限」欄位,可使用設定尺規改變開放的範圍,可選的範圍有「僅自己」、「部分朋友」、「朋友」、「我的朋友和他們的朋友」及「公開」。「朋友」是指在Windows Live服務中,你所允許的連絡人。對「朋友」開放的權限,可以是僅供讀取的「可檢視檔案」,或是有修改權限的「可新增、編輯詳細資料和刪除檢視檔案」。

 完成建立資料夾後,在SkyDrive首頁會以不同的圖示,表示各資料夾的開放權限。下圖顯示3種不同權限的資料夾:

(3)刪除資料夾
 先點選進入你所要刪除的資料夾,再從功能列中,點選「刪除」項,即出現「您即將從Windows Live SkyDrive刪除某個資料夾及其所有內容。」訊息,按「確定」即完成刪除資料夾的動作。訊息畫面如下圖:

(4)上傳及下載檔案
 進入資料夾後,如下圖點選功能列中的「新增檔案」項,就可以開始進行上傳檔案了。

 可以開啟「檔案總管」,將檔案拖放到工作區中,就會進行檔案上傳。可反覆進行拖放或一次拖放多個檔案,進行上傳。每個檔案大小的上限為50 MB。

 上傳檔案後,畫面如下圖。可按檔名旁的ㄨ符號刪除檔案,最後按「繼續」完成上傳工作。

 在檔案列表的畫面中,將游標移到檔名上,就會顯示出針對該檔的操作功能。例如「共用」(編輯使用權限)、「移動」(移至其他資料夾)、「複製」(複製到其他資料夾)、「重新命名」、「下載」及「內容」(檢視檔案描述及其內容)。

 若是doc檔,則會有「在瀏覽器中編輯」及「版本歷程紀錄」的選項可以使用。

3.連線為網路磁碟機 

 透過Web介面操作SkyDrive中的檔案,並不是很方便,假如能將SkyDrive空間連線為網路磁碟機,便可使用檔案總管、備份軟體或是其他軟體,直接操作其中的檔案。有多個其他廠商的軟體可以達到此目的,例如:Gladinet。因該軟體的操作細節超過本文範圍,故其使用方法只略述如下:

 進入Gladinet的官網,點選「Download」,下載Gladinet Cloud Desktop的Free Starter Edition。

 安裝之後,以下圖為例,可將Z:磁碟機連線到SkyDrive的儲存空間。該軟體也提供備份的功能,可以指定個人電腦中的某個資料夾,要備份到SkyDrive中的某個資料夾中。

結語

 一般小型隨身碟的容量大多只有幾個GB而已,而SkyDrive所提供的容量就有25GB,而且是免費的服務。將你的資料在此存放一份,就可以增加一份備份了!何不現在就上線試試這個服務呢?

參考資料

Windows Live SkyDrive - 全新網路硬碟,介面直觀好容易

Top

資訊安全
Web Security網站安全基礎篇(二)

(文續2010年第15期)

前言
 
 我們在前篇已經有介紹一些駭客的思維以及攻擊手法,接下來我們要介紹身為開發者的我們,要如何去確保自己的網站應用程式是安全無虞的。透過網路上OWASP組織提供的防護方法以及弱點介紹,我們可以很快地檢視自己的網站是否有安全弱點。以下我們會介紹OWASP Top 10十大網站安全弱點,以十項最常見的弱點來介紹網站的安全問題。

Open Web Application Security Project 開放網站應用程式安全計畫
 
 OWASP是一個開放社群的非營利組織,致力於改善網站應用程式的安全性。
 OWASP Top 10揭露常見的網站應用程式弱點,以供軟體開發安全參考。

OWASP Top 10 

 通常我們會針對OWASP Top 10來進行基本的網站安全風險說明。目前OWASP Top 10釋出2010年版。十大風險如下:   

 A1 – Injection(注入攻擊)
 A2 – Cross Site Scripting (XSS)(跨站腳本攻擊)
 A3 – Broken Authentication and Session Management(身分驗證功能缺失)
 A4 – Insecure Direct Object References(不安全的物件參考)
 A5 – Cross Site Request Forgery (CSRF)(跨站冒名請求)
 A6 – Security Misconfiguration(安全性設定疏失)
 A7 – Failure to Restrict URL Access(限制URL存取失敗)
 A8 – Unvalidated Redirects and Forwards(未驗證的導向)
 A9 – Insecure Cryptographic Storage(未加密的儲存設備) 
 A10 – Insufficient Transport Layer Protection(傳輸層保護不足)
 
 以下針對這十大風險做一個簡單的介紹。

A1 – Injection(注入攻擊)
 
 網站應用程式執行來自外部包括資料庫在內的惡意指令,SQL Injection與Command Injection等攻擊包括在內。因為駭客必須猜測管理者所撰寫的方式,因此又稱「駭客的填空遊戲」。
 
 舉例來說,原本管理者設計的登入頁面資料庫語法如下:
 
$str = "SELECT * FROM Users WHERE Username='“.$user."' and
Password=‘”.$pass."'“;

 
 如果說$user以及$pass變數沒有做保護,駭客只要輸入「’ or ‘‘=’」字串,就會變成以下:
 
$str = “SELECT * FROM Users WHERE Username='' or ''='' and Password= '' or
‘’=‘’”;

 
 如此一來,這個SQL語法就會規避驗證手續,直接顯示資料。
 
 簡述駭客攻擊流程:

  1. 找出未保護變數,作為注入點
  2. 猜測完整Command並嘗試插入
  3. 推測欄位數、Table名稱、SQL版本等資訊
  4. 完整插入完成攻擊程序 

 防護建議:

  • 使用Prepared Statements,例如Java PreparedStatement(),.NET SqlCommand(), OleDbCommand(),PHP PDO bindParam()
  • 使用Stored Procedures
  • 嚴密的檢查所有輸入值
  • 使用過濾字串函數過濾非法的字元,例如mysql_real_escape_string、addslashes
  • 控管錯誤訊息只有管理者可以閱讀
  • 控管資料庫及網站使用者帳號權限為何

A2 – Cross Site Scripting ( XSS )(跨站腳本攻擊)
 
 網站應用程式直接將來自使用者的執行請求送回瀏覽器執行,使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。 
 
 此為目前受災最廣的攻擊。簡稱XSS攻擊。攻擊流程如下圖:

  1. 受害者登入一個網站
  2. 從Server端取得Cookie
  3. 但是Server端上有著XSS攻擊,使受害者將Cookie回傳至Bad Server
  4. 攻擊者從自己架設的Bad Server上取得受害者Cookie
  5. 攻擊者取得控制使用受害者的身分

 防護建議:

A3 – Broken Authentication and Session Management(身分驗證功能缺失)
 
 網站應用程式中自行撰寫的身分驗證相關功能有缺陷。例如,登入時無加密、SESSION無控管、Cookie未保護、密碼強度過弱等等。

 例如: 
 應用程式SESSION Timeout沒有設定。使用者在使用公用電腦登入後卻沒有登出,只是關閉視窗。攻擊者在經過一段時間之後使用同一台電腦,卻可以直接登入。
 
 網站並沒有使用SSL / TLS加密,使用者在使用一般網路或者無線網路時,被攻擊者使用Sniffer竊聽取得User ID、密碼、SESSION ID等,進一步登入該帳號。
 
 這些都是身分驗證功能缺失的例子。
 
 管理者必須做以下的檢查:

  • 所有的密碼、Session ID、以及其他資訊都有透過加密傳輸嗎?
  • 憑證都有經過加密或hash保護嗎?
  • 驗證資訊能被猜測到或被其他弱點修改嗎?
  • Session ID是否在URL中暴露出來?
  • Session ID是否有Timeout機制?

 防護建議:

  • 使用完善的COOKIE / SESSION保護機制
  • 不允許外部SESSION
  • 登入及修改資訊頁面使用SSL加密
  • 設定完善的Timeout機制
  • 驗證密碼強度及密碼更換機制 

A4 – Insecure Direct Object References(不安全的物件參考)
 
 攻擊者利用網站應用程式本身的檔案讀取功能任意存取檔案或重要資料。進一步利用這個弱點分析網站原始碼、系統帳號密碼檔等資訊,進而控制整台主機。
 
 例如:http://example/read.php?file=../../../../../../../c:\boot.ini。
 
 防護建議:

  • 避免將私密物件直接暴露給使用者
  • 驗證所有物件是否為正確物件
  • 使用Index / Hash等方法,而非直接讀取檔案

A5 – Cross Site Request Forgery (CSRF)(跨站冒名請求)
 
 已登入網站應用程式的合法使用者執行到惡意的HTTP指令,但網站卻當成合法需求處理,使得惡意指令被正常執行。
 
 舉例來說,攻擊者在網站內放置了 <img src=”http://server.com/send.asp?to=...”> ,受害者讀取到此頁面之後,就會去server.com主機執行send.asp惡意行為。
 
 例如Web 2.0時代的社交網站等等,都是CSRF攻擊的天堂。
 
 防護建議:

  • 確保網站內沒有任何可供XSS攻擊的弱點
  • 在Input欄位加上亂數產生的驗證編碼
  • 在能使用高權限的頁面,重新驗證使用者
  • 禁止使用GET參數傳遞防止快速散佈
  • 使用Captcha等技術驗證是否為人為操作 

 或者參考OWASP所提供的CSRF Solution

A6 – Security Misconfiguration(安全性設定疏失)
 
 系統的安全性取決於應用程式、伺服器、平台的設定。因此所有設定值必須確保安全,避免預設帳號、密碼、路徑等。甚至被Google Hacking直接取得攻擊弱點。

 防護建議:

  • 軟體、作業系統是否都有更新到最新版本?是否都有上最新Patch?
  • 不需要的帳號、頁面、服務、連接埠是否都有關閉?
  • 預設密碼是否都有更改?
  • 安全設定是否都完備?
  • 伺服器是否都有經過防火牆等設備保護? 

 各種設備、系統的預設密碼,都可以在網路上找到一些整理資料。

 http://www.phenoelit-us.org/dpl/dpl.html
 http://www.routerpasswords.com/
 http://www.defaultpassword.com/

A7 – Failure to Restrict URL Access(限制URL存取失敗)
 
 網頁因為沒有權限控制,使得攻擊者可透過網址直接存取能夠擁有權限或進階資訊的頁面。例如管理介面、修改資料頁面、個人機敏資訊頁面洩漏等等。

 舉例來說,
 /admin
 /backup
 /logs
 /phpmyadmin
 /phpinfo.php
 /manage

 這些都是常見的路徑及檔案。攻擊者只要猜測到,就可以操弄主機。

 防護建議:

  • HTTP Service直接限制來源IP
  • 使用防火牆阻擋
  • 密碼授權加密頁面
  • 網站架構最佳化

A8 – Unvalidated Redirects and Forwards(未驗證的導向)
 
 網頁應用程式經常將使用者Forward或Redirect至其他頁面或網站,沒有驗證的機制。攻擊者可將受害者導向至釣魚網站或惡意網站,甚至存取受限制的資源。

 例如:

 http://example.cc/redir.jsp?url=evil.com
 http://example.cc/func.jsp?fwd=admin.jsp 
 http://g.msn.com/9SE/1?http://xxx.com

 防護建議:

  • 非必要時避免使用Redirect及Forward
  • 驗證導向位置及存取資源是合法的 

A9 – Insecure Cryptographic Storage(未加密的儲存設備) 
 
 網站應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。加密演算法是安全防護的最後一道防線,當駭客取得了帳號密碼,可以簡單地使用一些破解軟體甚至線上服務進行破解。例如Cain & Abel,MD5 Reverse Lookup等。

 防護建議:

  • 使用現有公認安全的加密演算法
  • 減少使用已有弱點的演算法,例如MD5 / SHA-1,甚至更簡單的加密法
  • 安全的保存私鑰

A10 – Insufficient Transport Layer Protection(傳輸層保護不足)
 
 網頁應用程式未在傳輸機敏資訊時提供加密功能,或者是使用過期、無效的憑證,使加密不可信賴。

 例如:攻擊者竊聽無線網路,偷取使用者cookie;網站憑證無效,使用者誤入釣魚網站。

 防護建議:

 Cookie Secure Flag設定:

  • PHP setcookie ("TestCookie", "", time() - 3600, “/", ".example.com", 1); 
  • JSP cookie.setSecure(true);
  • ASP.NET cookie.Secure = True;

小結

 以上OWASP Top 10包含了大部分常見的網站安全弱點,但並不是只有這些。管理者必須時時注意最新的資安消息,並且對自己的主機定時進行更新,檢查系統記錄檔,絕不可有僥倖之心。如此一來,才能確保主機處於安全的狀態。(註:本文轉載自第151期自由軟體鑄造場電子報》,經取得同意轉載)(完)

附錄
 
 以下附上常見的弱點資料庫以及網站淪陷資料庫,管理者可以定期瀏覽最新的資訊安全消息,並且檢查自己的網站有沒有在淪陷資料庫榜上有名。
 
弱點資料庫

CVE - Common Vulnerabilities and Exposures (CVE)
SecurityFocus
National Vulnerability Database
VUPEN Security

網站淪陷資料庫

TW網站淪陷資料庫
Zone-H
</xssed>

Top

創刊日期:74年10月15日
發行人 :徐讚昇
總編輯 :曾士熊
編輯小組:林翠娟
網站技術:張錦堂
出版日期:民國99年8月5日


服務專線:(02)2789-8872
E-mail:publish@gate.sinica.edu.tw
訂閱與取消訂閱 | 各期計算中心通訊 | 中研院計算中心 | 中央研究院

本電子報所有文字、圖片版權為中央研究院所有,未經許可請勿轉載。
如對本報有任何意見,請與我們聯繫。
   
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。