4

前幾天完成網頁轉電子書批次工具,挑了幾篇 2019 年 iT邦幫忙鐵人賽系列文轉成 ePub,方便通勤或閒暇閱讀。其中有篇講電腦系統漏洞(Vulnerability)挺實用,其中有不少術語工作上偶爾會接觸,想說整理筆記會更扎實,所以就有了這篇。

完整系列文章在這裡:2019 iT 邦幫忙鐵人賽 資安補漏洞,越補越大洞 系列 ,推薦大家可以找時間看看,這裡只會聚焦漏洞術語、組織等非開發層面的知識:

  1. 漏洞 (Vulnerability) 定義
    各大組織、研究單位下的定義都不同,我自己胡亂 Remix 了一個混血版本- 安全漏洞指的是系統因設計、實作、操作或內部控制導致的脆弱環節,足以被攻擊者利用,進而危害系統的完整性、可用性與機密性。
  2. CERT Computer Emergency Response Team,各國都有,例如:TWCERT/CC、US-CERT
  3. CVE Common Vulnerabilities and Exposure 通用漏洞揭露計劃,就是常見漏洞編號 CVE-xxxx-xxx 的由來
    CNA CVE Numbering Authority - 有權給漏洞 CVE 編號的組織,台灣有四個 TWCERT/CC、群暉、QNAP 及趨勢科技,廠商型 CNA 多半只能管自家產品有關的漏洞
  4. 漏洞被發現後統一給予編號方便討論溝通,主要編號系統:
    CVE - 由美國 MITRE 公司或 CNA 認定賦與,格式為 CVE-yyyy-nnnn,例如 Heartbleed 為 CVE-2014-0160
    VU - 由美國卡內基美隆大學維運的 CERT/CC 發佈,格式為 VU#nnnnnn,例如 VU#176301
    註:US-CERT 是美國國土安全局下屬單位、CERT/CC 是美國國防部資助的學術研究單位
    ICS - 由 ICS-CERT 管理,只處理與工控系統相關的漏洞,格式如 ICSA-ALERT-15-224-02 (漏洞預警公告)、ICSA-18-289-01 (漏洞公告)
    JVN - 由日本 JPCERT/CC 管理,格式為 JVN#nnnn (漏洞威脅情資)、JVNVU#nnnn (國外組織發佈的漏洞情資)、JVNTA#nnn (JPCERT/CC 自行發佈的漏洞情資)
  5. 處理漏洞的組織
    台灣: HITCON ZeroDay (線上通報、代為通知對方與追蹤、處理進度查詢)、TWCERT/CC (為 CNA,有權給 CVE 編號)
    國際: MITRE (CVE 計劃主要推手)
  6. 漏洞嚴重性評估
    CVSS 評分機制,目前為第三版 CVSSv3.0,分成三個群組:基本矩陣、暫時矩陣、環境矩陣
    基本矩陣有八個面向:
    • 攻擊向量 - Internet / LAN 或藍牙 / 不需連網 / 接觸實體機才可攻擊
    • 攻擊複雜度 - 低(易重現) / 高(需達成多個條件才能成功)
    • 是否需提權(Privileges) - 不需要 / 一般使用者 / 管理者
    • 是否需使用者操作 - 不需要 / 需使用者做某些動作才能成功
    • 影響範圍 - 僅含漏洞元件本身 / 漏洞元件以外的元件
    • 機密性影響 - 無 / 可以取得機密資料但無法使用 / 可取得並使用
    • 完整性影響 - 無 / 可竄改某些資料影響較小 / 可竄改所有資料,影響嚴重
    • 可用性影響 - 無 / 部分運作或時好時壞 / 無法運作
      暫時矩陣包含成熟度(PoC 或有自動化攻擊工具?)、修復程度(是否有 Wrokaround、Hotfix)、可信度(是否有詳細報告可證實)
      環境矩陣為使用者依自身環境修改調整後的評估標準。
  7. CWE Common Weakness Enumeration 通用弱點列舉計劃,列出常見的漏洞,例如 SQL Injection,並提供程式開人員、學術研究人員、軟體供應商角度的解讀與說明,是很有用的參考資料 網頁相關漏洞最權威的參考資訊 - OWASP (Open Web Application Security Project),OWASP TOP 10 網站攻城獅不可不知。
  8. WebGoat 專案 - 滿滿漏洞的展示網站,可用於練習攻防
  9. 漏洞賞金 (Bug Bounty) - 廠商懸賞研究人員通報自家產品漏洞
  10. 如果你是開發者,請確定你聽過:SQL Injection、XSS、CSRF、XXE(XML Extenal Entity) Injection...

Notes of some terms of vulnerability definition, organization, evaluation and numbering.


Comments

# by ByTIM

只遇到 SQL Injection,這要處理要多幾行程式碼避免,還是LINQ方便。

# by Alvin

感謝黑大整理及分享!

# by Alvin

第三點好像有typo應該是漏洞揭露計劃

# by Jeffrey

to Alvin,感謝指正,已修正。

Post a comment