Browsing articles tagged with " 資安"
九月
11
2014

請不要再使用isleaked.com檢查自己的Gmail了

今天看到一則不負責任的文章: 全球 493 萬 Gmail 賬密遭洩,輸入你的 Email 就知道是不是「受駭者」! 做為一個這麼多人閱讀的資訊網站,沒有做到資訊檢查的前置作業,就將這樣的文章發表出來,不知道會造成多少人受害?

為什麼這樣說呢? Gmail爆發帳戶的密碼外洩事件,是在台灣的2014年9月11日凌晨,而isleaked.com這個網域的註冊時間是在2014年9月8日網站的SSL申請日期是在2014年的9月10日。有沒有這麼剛好? 這個網站難道未卜先知,知道Gmail即將爆發帳戶密碼外洩的資安事件,所以在資安事件爆發前就架設好提供給大家查詢 (迷之音:順便蒐集大家的email)

不是杞人憂天,而是真的對於一個資訊網站對於資訊內容沒有做好檢查,就這樣散播出來,對於一般使用者來說,可以說是一項很不負責任的行為

  • isleaked.com 網域註冊資料:http://www.whois.com/whois/isleaked.com
  • isleaked.com 的SSL資訊:
  • isleaked.com SSL

四月
9
2014

修復OpenSSL CVE-2014-0160資安漏洞後必做工作

OpenSSL的CVE-2014-0160漏洞被揭露之後,我們除了要進行OpenSSL的更新之外,還要避免我們原本的SSL Key在修復前就被偷走的風險,因此建議做以下的防護動作。

更新SSH Host Key
sudo ssh-keygen -f /etc/ssh/ssh_host_rsa_key -b 4096 -t rsa
sudo ssh-keygen -f /etc/ssh/ssh_host_dsa_key -b 1024 -t dsa

  • -b 是指Key的長度,建議至少設置在2048以上
  • dsa 的長度則一定是1024

更新使用者的key
切換到該使用者之後
ssh-keygen -b 4096 -t rsa

  • -b 是指Key的長度,建議至少設置在2048以上
  • 如果這位使用者原本的key,有存放在另外其它主機的authorized_keys,記得其它主機的authorized_keys也要一併更新

更新網站SSL憑證所使用的Key和CSR
openssl req -new -newkey rsa:4096 -nodes -sha256 -out [NAME].csr -keyout [NAME].key

  • 請將 [NAME] 換成你自己常用的名稱,建議跟原本的名稱一樣,這樣後面可以少做一些修改
  • rsa:4096 是指private key的長度,可以選擇2048, 3072, 4096三種長度
  • -sha256 加上這個參數是用來產生SHA-256的CSR,並且用來產生SHA-2的SSL憑證
  • 記得先備份原本的SSL憑證相關檔案: key, csr, crt和bundle crt這幾個檔案
  • 如果忘記原本csr的內容,可以打開現在csr的檔案,把內容貼到CSR Decoder這個網站去做反解,得到當初填寫的內容
  • 到申請SSL的網站進行re-key,然後把csr貼上去
  • 等待大約5分鐘,就會拿到新的crt
  • 修改Web Server SSL相關的設定,以Apache為例就是修改 /etc/httpd/conf.d/ssl.conf
  • 重新啟動Web Server

四月
8
2014

修復CentOS 6.5 OpenSSL CVE-2014-0160資安漏洞的方法

根據 Heartbleed Bug 的揭露,OpenSSL發生了一個嚴重的資安問題。受到影響的Linux有下列幾項

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

阿維自己剛有幾台機器是使用CentOS 6.5架設的,這樣的資安問題當然要趕緊修復,以下就跟大家分享修復的方式

執行 yum update openssl
Installed Packages
Name : openssl
Arch : x86_64
Version : 1.0.1e
Release : 16.el6_5.4
Size : 4.0 M
Repo : installed
From repo : ami-updates
Summary : A general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
License : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications
: between machines. OpenSSL includes a certificate management tool
: and shared libraries which provide various cryptographic
: algorithms and protocols.</code>

Available Packages
Name : openssl
Arch : i686
Version : 1.0.1e
Release : 16.el6_5.7
Size : 1.5 M
Repo : updates
Summary : A general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
License : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications
: between machines. OpenSSL includes a certificate management tool
: and shared libraries which provide various cryptographic
: algorithms and protocols.

Name : openssl
Arch : x86_64
Version : 1.0.1e
Release : 16.el6_5.7
Size : 1.5 M
Repo : updates
Summary : A general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
License : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications
: between machines. OpenSSL includes a certificate management tool
: and shared libraries which provide various cryptographic
: algorithms and protocols.
如果沒有更新檔案可以進行更新
可以到這裡下載SRPM,然後自己進行手動編譯更新 http://vault.centos.org/6.5/updates/Source/SPackages/openssl-1.0.1e-16.el6_5.4.0.1.centos.src.rpm
注意! 不是更新完就沒事了,記得要做下面的動作

lsof -n | grep ssl | grep DEL

執行這段指令之後,會列出需要重新啟動的服務,記得將列出的服務全部重新啟動一次。

重新啟動服務之後,再執行一次這段指令,確保所有需要重新啟動的服務都已經完成重新啟動。

1. 建議重新產生SSL Key,避免原本的Key已經外洩造成資安上的漏洞

2. 修復之後也可以到 http://filippo.io/Heartbleed/ 這個網站進行檢測

3. 建議繼續閱讀 修復CentOS 6.5 OpenSSL CVE-2014-0160資安漏洞後必做工作 來保障主機的安全

七月
15
2013

使用.htaccess限制特定目錄下不能夠執行PHP檔

為了網頁的一些功能我們會允許使用者上傳檔案,但是有時候使用者會不小心或者是故意想要測試一下網站的安全性,因此就會上傳.php檔。
雖然我們應該在上傳的時候就做好檢查,但難免會有所疏忽,造成使用一樣可以把.php的檔案傳到主機上。
這時候我們可以在這些特定的目錄加上.htaccess,當然Apache要開啟允許自定義.htaccess的功能,然後在.htaccess中寫入

php_flag engine off

這樣一來,即便使用者上傳了.php檔到這些目錄,執行之後就只會顯示PHP的原始碼,不會真的執行了

三月
31
2010

網站安全性檢測軟體 – websecurify

隨著架設網站的門檻降低,大家都可以很容易的架設網站,不管是透過外包、自行開發或者是申請(購買)主機然後抓取自由軟體(free software)安裝,前面提到的幾種方式,不管你使用那一種方式,大家通常都會忽略掉一件事情 – 你的網站和程式安全嗎?

對於個人使用者來說,或許你會覺得只是網站首頁被換掉或者是一些無關緊要的東西,但是換一個角度想一想,你既然花了時間和金錢去架設屬於自己的網站,這個網站某個程度而言就是代表了你這個人,你真的願意自己辛苦經營的網站就這樣敞開大門讓別人不費吹灰之力就摧毀你的心血嗎?

網站安全性對於公司企業的重要性,相信我不需要再多說,大家也都可以明瞭。我就不再累述了。

公司一般來說都會配置網管人員來進行網站的安全性監控,但是個人或者是規模較小的公司或許就沒有能力養得起這樣的人員,這時候我要推薦一套軟體讓大家在網站上線前,可以先做一下檢測,而且這套軟體還是免費的,完全不需要擔心費用的問題。

這套軟體的名稱是websecurify,他們標榜的是web and web 2.0 security,目前提供了windows、mac os和linux三種平台的版本,如果你也有興趣也可以下載原始碼回來研究。

我自己實際使用之後歸納了幾點心得

(1) 掃描需要花費不短的時間,因此你可以在開始掃描之後去睡個覺或者是跟朋友出門去玩耍,不要傻傻的待在電腦前面等他完成;

(2) 如果選擇進階掃描,掃描完之後的結果會有點多,多到在檢視的時候會讓電腦有點lag,我的電腦搭配四核心+4G的記憶體都會有這樣的現象,所以真的不是因為電腦比較差造成的;

(3) 不知道是我笨還是真的沒有報表輸出的功能,如果有這個功能就會超讚的。

趕快去下載websecurify檢測一下自己的網站有哪些地方需要加強和修正吧 

頁次:12»