Cenzic於《2009年1～2季度web應用安全趨勢報告》中評估，9成的網頁應用程式皆有資料外洩、跨站攻擊等弱點，並指出，2009年上半年發現3,100多個安全弱點，其中有78%屬於網頁應用程式弱點，較2008年下半年發現的弱點數量增加了10%以上。依目前網頁應用程式安全現況，一旦遭惡意攻擊，必然造成影響，而事後處理，往往可能造成資訊外洩等嚴重損害。

因此本研究針對淡江大學網頁應用程式，透過弱點掃瞄工具偵測應用程式潛在之弱點後，以駭客角度進行入侵滲透測試，驗證弱點是否確實存在或存在其它潛在弱點，最後彙總出11種攻擊手法，以供網頁應用程式維護者檢測參考之用。瞭解網頁應用程式安全現況，以事前洞悉網頁應用程式潛在之弱點。研究發現，淡江大學之網頁應用程式弱點分佈為：資訊揭露與不適當的錯誤處置，佔23.26%；不安全的物件參考，佔15.95%；疏於限制URL存取，佔14.95%及其他，佔45.84%，而入侵滲透測試結果，實際造成瀏覽者、後端資料庫、管理者等密碼遭竊取與網頁資料遭修改之嚴重威脅，佔21.05%，共取得3個網頁應用程式之相關重要帳號、密碼；修改5個網頁應用程式內容。期望透過網頁應用程式弱點分析及11種攻擊手法，供網頁應用程式維護者及未來開發者較駭客早一步發現問題。

Cenzic "Web Application Security Trends Report Q1-Q2, 2009" pointed out that 90 percent of Web Applications were invaded by data leakage, cross-site attacks. During the first half of 2009, Cenzic discovered that the total number of reported vulnerabilities were up to 3100 incidents, and the percentage of Web vulnerabilities continued account for 78 percent, compared with the weaknesses found in the second half of 2008 increased by 10%. According to the present status of Web Application security, once the malicious attacks occur, often cause serious damage. While the post-processing often leads to inevitably affects on information leaks.
For the reason above, we take Tamkang University Web Application vulnerability as an experiment with an view to observe the outcome through scanning tools and detect the application potential of weakness. The summary contains 11 methods of attack for the cyber administrator to test web applications as a defend reference. As for Web Application security condition, in order to advance insight into the potential of Web Application vulnerabilities.The distribution of Tamkang University Web Applications vulnerabilities is consisted as below: Information leakage and improper error handling 23.26%; Insecure direct object reference 15.95%; Failure to restrict URL access 14.95% and other 45.84%. While the invasion of penetration test results, the actual cause viewers, back-end database administrator password was stolen and other information with the page was to edit a serious threat 21.05%, a total of three important Web Applications related account password; modify the content of 5 web applications. We hoped that through the Web Application vulnerability analysis, and 11 methods of attack for the defenders and future web applications developers could find problems earlier than the hackers do.

目錄

中文摘要				 I
英文摘要			         II
目錄			        III
表目錄			         IV
圖目錄				 V
第壹章 緒論			 1
第一節	研究背景與動機		 1
第二節	研究目的			 2
第三節	研究範圍與限制		 3
第四節	論文架構			 3
第貳章 文獻探討			 4
第一節	網頁應用程式		 4
第二節	網頁應用程式安全		 5
第三節	OWASP十大弱點		 7
第四節	網頁攻擊之預防		 8
第參章 研究方法與過程		11
第一節	研究對象描述		11
第二節	資料來源			12
第三節	使用工具			13
第四節	研究過程			13
第肆章 研究分析			16
第一節	網頁應用程式弱點數分析	16
第二節	網頁應用程式弱點類型分析	20
第三節	攻擊手法及分析		26
第伍章結論與建議			40
第一節	結論			40
第二節	建議			41
參考文獻				42
附錄一				45
附錄二				53

表目錄

表 3-1 資料來源分佈表	11
表 3-2資料來源明細表	12
表 3-3 嚴重性層次定義表	14
表 4-1 網頁應用程式弱點數-採用APPSCAN	16
表 4-2經入侵滲透測試後之網頁應用程式弱點數	17
表 4-3網頁應用程式弱點數明細	17
表 4-4 掃瞄結果修改說明	18
表 4-5網頁應用程式潛在弱點數之誤報率及漏判率	19
表 4-6 OWASP TOP 10 2007	20
表 4-7 APPSCAN分類表	20
表 4-8 OWASP及APPSCAN弱點分類對照表	21
表 4-9 網頁應用程式潛在弱點類型分佈統計-採用APPSCAN分類 22
表 4-10 網頁應用程式潛在弱點類型分佈統計-採用OWASP之分類24
表 4-11網頁應用程式潛在弱點類型分佈百分比-採用OWASP之分類24
表 4-12 淡江大學網頁應用程式潛在弱點類型與OWASP TOP 10 2007差異 24
表 4-13網頁應用程式滲透結果	39
 
圖目錄

圖 1-1 WEB資安威脅成長趨勢	2
圖 2-1 N-TIERED 網頁應用程式架構	5
圖 2-2 3- TIER 網頁應用程式架構	5
圖 3-1研究方法架構	14
圖 4-1瀏覽者COOKIE內容	26
圖 4-2 設定預進行監聽用之網路卡介面	27
圖 4-3 將無線網路卡設定為監聽模式	27
圖 4-4 竊取封包並取得瀏覽者帳號、密碼	27
圖 4-5 偽造之惡意網頁	28
圖 4-6 網頁原始碼	29
圖 4-7 LOG訊息頁面	29
圖 4-8 HTML註解	29
圖 4-9 FRONTPAGE訊息頁面	30
圖 4-10 FRONTPAGE目錄清單	30
圖 4-11網站架結構	31
圖 4-12管理者登入頁面	31
圖 4-13 COOKIE設定原始碼	32
圖 4-14片段原始碼	32
圖 4-測試頁面	33
圖 4-16隱藏目錄訊息	33
圖 4-17點選惡意指令碼後管理者畫面	34
圖 4-18應用程式錯誤訊息回報	35
圖 4-19帳號密碼檔	35
圖 4-20資料庫訊息	36
圖 4-21上傳惡意檔案	36
圖 4-22後端資料庫管理頁面	37
圖 4 23含惡意指令碼的留言版內容	38

一、中文文獻
[1]Microsoft Corp.，〈AppScan Standard Edition入門手冊〉， 2009年。
[2]Microsoft Developer Network，<Web Application 首部曲：了解 ASP.NET 基礎架構>，網址：http://www.microsoft.com/taiwan/msdn/columns/jhu_ming_jhong/A-ASP.NET_Architecture.htm，上網日期：2009年11月。
[3]Taiwan - OWASP，<十大Web資安漏洞列表>，網址：http://www.owasp.org/index.php/Taiwan，上網日期：2009年9月。
[4]行政院，〈個人資料保護法〉，2010年5月。
[5]行政院國家資通安全會報技術服務中心，<97年度Web應用程式安全參考指引V.2>，網址：http://www.giscc.org.tw/downloadFile.php?dispatch=download&sn=108，上網日期：2009年7月。
[6]李明儒，<你的網站在裸奔嗎? 一個SQL Injection實例的啟示>，網址： http://blog.darkthread.net/files/folders/3021/download.aspx，上網日期：2009年10月。
[7]林錦雲，《利用XML驗證之網頁安全防護機制》，碩士論文，國立暨南國際大學資訊管理研究所，2003。
[8]宣揚電腦顧問股份有限公司，<3-Tier系統架構 (system framework) >，網址：http://www.bethel.com.tw/ProuctSolution.aspx?LoadURL=ProuctSolution32.htm&ID=ProuctSolution&ITEM=32，上網日期：2009年9月。
[9]施東河、黃于爵，〈網站入侵偵測系統之分析與研究〉，資訊管理學報，第9卷第2期，頁183-214，2003年1月。
[10]柯士杰譯，GIJOE 著，《網頁程式駭客攻防實戰－以 PHP 為例》，旗標書局，2007。
[11]陳彥錚、林錦雲，〈利用XML驗證之網站安全防護架構〉，資訊管理學報，第13卷，第2期，頁33-53，2006年4月。
[12]華夏黑客聯盟論壇，<SQL注入方法>，網址：http://www.hx95.com/Down/Hack/201002/2851.htm，上網日期：2009年11月。
[13]張智翔，〈淺談網路應用程式安全〉, 中央研究院計算中心通訊，2007年9月6日。
[14]淡江大學，<淡水校園簡介>，網址：http://foreign.tku.edu.tw/chinese/campus-tamsui.asp，上網日期：2009年7月。
[15]國家資通安全會報技術服務中心，網址：http://www.icst.org.tw/，上網日期： 2009年11月。
[16]程秉輝，《駭客攻防技術新擂台-入侵與無線網路篇》，旗標書局，2008。
[17]黑客防線編輯部，《黑客防線》，人民郵電出版社，2009。
[18]黑客動畫吧，<SQL注入方法>，網址：http://www.hx95.com/Down/Hack/201002/2851.htm，上網日期：2009年11月。
[19]黑基網，<XOOPS 2.2.6 包含漏洞>，網址：http://www.hackbase.com/tech/2009-10-30/57523.html，上網日期：2009年10月。
[20]維基百科，<Cookie>，網址：http://zh.wikipedia.org/zh-tw/Cookie，上網日期：2009年9月。
[21]維基百科，<網路應用程序>，網址：http://zh.wikipedia.org/zh-tw/%E7%B6%B2%E9%A0%81%E6%87%89%E7%94%A8%E7%A8%8B%E5%BC%8F，上網日期：2009年10月。
[22]盧建同，<網站應用程式弱點檢測>，網址： http://bunny.tyc.edu.tw/Upload/File/webapp_vulnerability.pdf，上網日期：2009年10月。
[23]趨勢科技，〈趨勢科技2008 年資安威脅摘要暨2009年資安趨勢預測〉，2009年11月。

二、英文文獻
[24]Alcorna, W., “Cross-site scripting viruses and worms – a new attack vector,” Net Work Security, vol. 7, pp. 7-8, Jul. 2006.
[25]Anupam, V., and Mayer, A., “Secure Web scripting,” IEEE Internet Computing, vol. 2, no. 6, pp. 46-55, 1998.
[26]Cenzic Inc., “Web Application Security Trends Report Q1-Q2 2009,” 2009.
[27]Cary, C., Wen, H. J., and Mahatanankoon, P., “A viable solution to enterprise development and systems integration: a case study of web services implementation,” Management and Enterprise Development, vol. 1, no. 2, pp. 164-175, 2004.
[28]Common Vulnerabilities and Exposures (CVE). http:// cve.mitre.org/, accessed 2009/11.
[29]Jeremy Petersen, Benefits of using the n-tiered approach for web applications. http://www.adobe.com/devnet/coldfusion/articles/ntier.html, accessed 2010/1.
[30]Mookhey, K., and Burghate, N., Detection of SQL Injection and Crosssite Scripting Attacks. http://www.securityfocus.com/infocus/1768, accessed 2004/3/17.
[31]Microsoft Corp.,Mark Curphey, Joel Scambray, and Erik Olson, “Improving Web Application Security: Threats and Countermeasures,” Jun. 2003.
[32]Microsoft Developer Network, SQL Injection. http://msdn.microsoft.com/en-us/library/ms161953.aspx, accessed 2009/11.
[33]RSnake, XSS (Cross Site Scripting) Cheat Sheet. http://ha.ckers.org/xss.html, accessed 2009/10.
[34]SecuriTeam, SQL Injection Walkthrough. http://www.securiteam.com/securityreviews/5DP0N1P76E.html, accessed 2009/11.
[35]Technical Enterprises, Inc., “ Web Application Vulnerabilities, ” Oct. 2009.