這次的大會議程主要的有Web安全威脅偵測與防護、Firefox ExtensionSpyware、You can't see me!! ( 看不見的網站攻擊)、Malicious Web Browser Attack、Worm,Botnet and remote exploit、從惡意電子郵件看資料 外洩管道與防制、惡意文件之偵測技術。這其中的重頭戲當然就是0-day demo與Wargame了。本文將針對與一般使用 者關係較密切的議題，作簡單的介紹。

Web安全威脅偵測與防護

這個議題是由大砲開講邱春樹主講，他提到從Google的研究報告指出全球十分之一的網站都潛藏惡意連結或惡意程式（偷渡式下載，Drive-by Download），這些資料顯示網站開發者在開發網站應用程式時沒有依據安全政策的程式架構來撰寫，導致駭客有機可趁；利用網站弱點插入惡意程式或連結，令瀏覽器使用者連結至這些含有惡意程式或連結的網站後，自動下載並安裝木馬程式，進行個人資料竊取的動作。

根據2007年OWASP(The Open Web Application Security Project, http://www.owasp.org/index.php/Main_Page)Web資安漏洞提供的的資料中就可以發現：有好幾項是與網站程式碼安全相關的資安漏洞。Cross-Site Scripting中譯為「跨站腳本攻擊」，簡稱XSS。此乃駭客利用網站上允許使用者輸入字元或字串的欄位，插入HTML與Script語言，造成一般使用者在觀看網頁的同時，瀏覽器會主動下載並執行部份惡意程式碼，更甚者，被暗地裡導入至惡意的網站，使之遭受某種型態/程度的影響。我們也可以這麼說：要防止XSS攻擊，修改程式碼 為不二法則。最簡單防止XS S攻擊的方式，就是必須在使用者輸入欄位加入過濾字串的功能，將「<、>、%、/、() 、& 等特殊符號進行過濾不予輸出至網頁，或者：限定輸入欄位的長度。

較常見到會使用的 script 有：<script>alert(document.cookie)</script> 或 <iframe src="惡意連結"></iframe> 甚至 <iframe src="釣魚網站"></ iframe>。

網站出包，用戶倒楣，駭客得利

XSS的攻擊乃介於駭客與使用者之間的攻防戰，也就是駭客使用某些語言（腳本）跨網站主機對使用者發出攻擊，因此它的嚴重性也常常被網站管理者低估、甚至忽略。網站管理者只知道 XSS攻擊不會對網站本身有任何影響，但是對許多瀏覽網站的使用者來說，瀏覽已經被駭客植入惡意程式或惡意連結的網站，都會在不知的情況之下自動下載木馬並安裝在使用者的電腦上，成為駭客Botnet掌控下的一顆棋子。在這種情形下，網站管理者要如何保障使用者的安全？最重要的還是要從原始程式碼著手，將之修正成為更安全的網站程式，才能真正讓這類的攻擊大幅減少。企業可以建置Web應用程式防火牆先行阻擋，再慢慢修改有問題的程式碼；否則至少也要建置 IPS/IDS 進行偵測，並阻擋這類型的攻擊。

控制瀏覽器就等於控制使用者

另一位講者Unohope則以「灌籃高手」中的台詞：「控制籃下就等於控制整場籃球比賽。」來比喻瀏覽器對網路安全的影響。從駭客的角度：「控制瀏覽器就等於控制使用者。」由此衍生，Unohope以駭客的思維撰寫了一個「簡單、好用、又簡潔」的Browser程式，利用目前盛行的社交工程手法，以E-mail、IM、廣告或論壇等方式，誘騙使用者點選下載安裝。之後Unohope更現場示範在使用者開啟駭客設計的 Browser後，登入台灣各大網路銀行轉帳100元給A朋友時，實際上竟轉帳至駭客的銀行帳號，且金額為 100000元--轉帳出去的金額比原本輸入的金額還高出許多！另外，還展示了在拍賣市場上買了一個價值100元的A物品，登入使用線上金流系統刷卡 100元，這樣的動作，使用者不曉得自己事實上是幫駭客刷卡買了B物品。重點是：不管是使用OTP(One Time Password)還是晶片卡進行網路ATM認證交易，使用者只要使用此Unohope所設計的Browser，輸入的任何身份證、帳號、密碼、信用卡等個人私密/機密資料，其實已經偷偷私下傳送至駭客建置的中繼站伺服器了！發生上述狀況時，或許會有人想向銀行業者要求賠償；事實上，會發生這些資料被盜、信用卡被盜刷、網路ATM 銀行帳號被竊等情形，有些或許真的是因為這些業者網站程式不夠安全，但有更大的因素是「人」的關係所造成的。因此，只有教育使用者不要使用來路不明的軟體，例如綠色軟體等，這些惡意軟體，才能阻絕此類行為。現今使用者每天開啟瀏覽器逛網站的時間至少在二小時以上，網站的安全性與使用者的瀏覽器的關係是非常密切的。以目前台灣許多網站程式設計都是外包給廠商來做。

而這些網站很可能包給同一個廠商，該廠商若都使用相同的template 來設計不同客戶的網站，那麼許多網站就都會有相同的網站安全漏洞問題。從這次的SQL Injection攻擊就可以看見這個問題的嚴重性。網頁應用程式開發人員多半缺乏安全相關的訓練，導致開發出的程式可能/經常存在漏洞，令駭客得以入侵網頁，進而竄改、植入惡意程式或惡意連結、竊取個資。網頁開發人員進行網頁程序開發時，必須再對輸入字串進行嚴謹的過濾，避免類似事件再次發生。