Does website really keep account and password safe?
Ncut website system for example.
校務行政 - 學生篇
Female student addresses and phone?
Male students' grades and conduct.
校務行政 - 教師篇
Teacher's permission to register scores?
e-Learning
Plagiarize homework?
Postpone the due date?
Examples of information security sensitive and weaknesses website
-
e-Learning
- 校務行政系統 教師篇/學生篇
- e-Portfolio
- Property inquiry system
- 停車證線上申請
Penetration test (PT)
A penetration test, or the short form pentest, is an attack on a computer system with the intention of finding security weaknesses, potentially gaining access to it, its functionality and data.
滲透測試服務是委請受信任的第三方專業資安團隊,從駭客的角度出發,模擬攻擊者的思考方式對企業進行各種入侵攻擊測試。
In a nutshell
Analysis, Analysis, Judge,
then Attack.
Will Demo
校務行政 - 學生篇
校務行政 - 教師篇
e-Learning
Data Collection
Student ID format, student email format.
Teacher ID format, teacher email format.
Default password
-
- http://msd.ncut.edu.tw/wbcmsbb/menual/
- http://cec.web2.ncut.edu.tw/
ezfiles/4/1004/attach/79/pta_3818_861883_23797.pdf
Data Collection
Field Information
-
Username
-
Password
-
Captcha
Analysis Tools
-
Code Review
- Chrome browser
- HTML Parser
- Eavesdrop
- packet sniffer
- ARP spoofing (Man-in-the-middle attacks)
- Password cracking techniques
- Ciphertext Only Attack
- Known Plaintext Attack
- Chosen Plaintext Attack
- Chosen Ciphertext Attack
- Brute-Force Attack
How should website keep account and password safe batter?
-
Password Encryption at Tx and store
-
Reversible encoding: ∃ Inverse function
- Ex: Base64, DES, Caesar
- ∃ g(y), g(f(x))→x
- Irreversible coding (Recommended!)
-
Captcha
- Withstand automated crack bot
- HTTPS
- Obfuscated code
Crack
Password is not encrypted.
Anti-Crack
Password Encryption
How about Anti-Anti-Crack?
Rainbow Table -
Brute force in the extreme
- http://www.ha97.com/4009.html
- http://www.cmd5.com/
- http://www.base64decode.org/
- http://www.tools4noobs.com/online_tools/decrypt/
- http://app.baidu.com/app/enter?appid=212407
Crack
Password is not encrypted
Anti-Crack
Password Encryption
Anti-Anti-Crack
Rainbow Table
How about Anti-Anti-Anti-Crack?
SHA256(
MD5(
BASE64(
DES(
password
)
)
)
)
Dicsussion
-
Crack
- Password is not encrypted
-
Anti-Crack
- Anti-Anti-Crack
-
Anti-Anti-Anti-Crack
- Password Mulit-Encryption
- How about Anti-Anti-Anti-Anti-Arack?
投資一定有風險,
基金投資有賺有賠,
申購前應詳閱公開說明書
。。。 。。。
刑法 第 三十六 章 - 妨害電腦使用罪
刑法 第 三十六 章 妨害電腦使用罪
- 第 358 條:無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
- 第 359 條:無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
- 第 360 條:無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
- 第 361 條:對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。
- 第 362 條:製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
There is no black and white
in pure technology domain
Tool without good and evil,
Merits and demerits of an idea lies between users.
References
雜湊
http://zh.wikipedia.org/wiki/%E9%9B%9C%E6%B9%8A
加密演算法的分類
http://my.oschina.net/longhtml/blog/156061
密碼學原理與技術
http://goo.gl/uIuvPR
網路安全精要: 應用與標準http://memo.cgu.edu.tw/shin-yan/1002_ComputerNetworkSecurity/Ch02.pdf
以網路流量分析 ARP 欺騙攻擊之研究http://www.powercam.cc/home/read_attach.php?id=64
代碼混淆http://utf-8.jp/public/aaencode.html
那些在資訊安全上會運用到的數學兩三事
http://slides.com/wujun/179143
e-Learning登入密碼加密演算法
function ckLogin(){
var obj=document.getElementById("fmLogin");if((typeof(obj)!="object")||
(obj==null))return false;if((typeof(obj.username)!="object")||
(obj.username==null))return false;if((typeof(obj.password)!="object")||
(obj.password==null))return false;if((typeof(obj.login_key)!="object")||
(obj.login_key==null))return false;if((typeof(obj.encrypt_pwd)!="object")||(obj.encrypt_pwd==null))return false;if(obj.username.value==""){
alert(MSG_NEED_USERNAME);obj.username.focus();return false;
}
if(obj.password.value==""){
alert(MSG_NEED_PASSWORD);obj.password.focus();return false;
}
var pwdmask='********************************';
var cypkey=obj.login_key.value.substr(0,8);
obj.encrypt_pwd.value=stringToBase64(des(cypkey,obj.password.value,1));
obj.password.value=pwdmask.substr(0,obj.password.value.length);
return true;
}
var obj=document.getElementById("username");
if((typeof(obj)=="object")&&(obj!=null))obj.focus();
Publicize
COSCUP 2014 (開源人年會)
07/19(六)~07/20(日) in 中央研究院 社會科學人文館
HITCON 2014 (臺灣駭客年會)
- 08/16(六)~ 08/22(五): 台灣駭客週,將有一連串的競賽、會議、活動。
- 08/16~08/17 : 國際資安競賽。本次 wargame 會開放給全球一起參加。
- 08/18: HITCON X Training - 我們將提供國際等級的教育訓練課程。
- 08/19~08/20: HITCON X Enterprise - 於喜來登飯店,我們想要給台灣一個最高品質的資安研討會,希望可以讓更多企業與資安研究人員來參加。除了最新技術議題,還會加上資安策略與政策相關的內容。
- 08/21~08/22: HITCON X Playground - 於中研院社科館,參加門檻更低,內容更有趣。是了解駭客社群與體驗駭客精神最佳場合。