平台安全保密防护技术培训讲座PPT.ppt
平台安全保密技术,2023/2/7,1,计算机平台的泄密途径,(1)自然因素引发的危害(2)计算机系统本身的软硬件缺陷(漏洞发现技术)(3)计算机技术和产品的非自主性(4)落后的数据备份技术(5)不完备的灾难恢复策略和计划(6)电磁辐射泄露(7)计算机病毒危害(8)非法入侵窃密(9)安全管理问题,2023/2/7,2,2023/2/7,哈尔滨工程大学计算机科学与技术学院,3,平台保密技术,数据加密技术,密钥管理技术,信息隐藏技术,信息认证技术,访问控制技术,病毒防治技术,漏洞扫描技术,安全审计技术,防电磁防辐射技术,Bug与漏洞,现代软件工业的发展,软件规模不断扩大软件内部的逻辑也变得异常复杂。为了保证软件的质量测试成了极为重要的一环。即便如此,不论从理论上还是工程上都没有任何人敢声称能够彻底消灭软件中所有的逻辑缺陷 bug。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,4,Bug与漏洞,软件逻辑缺陷中,有一部分能够引起非常严重的后果。“超出设计范围的事情的bug称为漏洞(vulnerabillty)功能性逻辑缺陷(bug):影响软件的正常功能执行结果错误、图标显示错误安全性逻辑缺陷(漏洞):通常情况下不影响软件的正常功能,但被攻击者成功利用后,有可能引起软件去执行额外的恶意代码常见的漏洞包括软件中的缓冲区溢出漏洞、网站中的跨站脚本漏洞(XSS)、SOL注入漏洞等。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,5,困惑的安全问题,(1)从来不运行来历不明的软件,为什么还会中病毒?利用系统漏洞冲击波蠕虫、slamer蠕虫服务器软件中存在安全漏洞系统中可以被RPC远程调用的函数中存在缓冲区溢出漏洞沦为“肉鸡”,2023/2/7,哈尔滨工程大学计算机科学与技术学院,6,困惑的安全问题,(2)我只是点击了一个URL链接,并没有执行任何其他操作,为什么会中木马?如果浏览器解析HTML文件时,存在缓冲区溢出漏洞攻击者可以精心构造一个承载恶意代码的HTML文件点击该链接就会触发漏洞,从而导致HTML中的恶意代码(shellcode)被执行这样的恶意代码通常是在没有任何提示的情况下去指定的地方下载木马客户端并运行,2023/2/7,哈尔滨工程大学计算机科学与技术学院,7,困惑的安全问题,(3)word文档、power point文档、excel表不是可执行文件,他们会导致恶意代码执行吗?如果office软件在解析数据文件时,存在缓冲区溢出漏洞攻击者可以精心构造一个承载恶意代码的word文件,2023/2/7,哈尔滨工程大学计算机科学与技术学院,8,困惑的安全问题,(4)使用高强度密码,账户是否安全?高强度密码可以抗暴力破解,但是否安全还存在其他一些因素密码存在哪里?本地还是服务器密码怎么存?明文还是密文,加密算法强度怎样?密码怎样传递?密钥交换过程是否安全、是否使用SSL等如果网站存在SQL注入漏洞,2023/2/7,哈尔滨工程大学计算机科学与技术学院,9,软件漏洞分类,(1)缓冲区溢出漏洞(2)整数溢出漏洞(3)格式化字符串漏洞(4)指针覆盖漏洞(5)SQL注入漏洞(6)Bypass漏洞(7)信息泄露漏洞(8)越权型漏洞,2023/2/7,哈尔滨工程大学计算机科学与技术学院,10,(1)缓冲区溢出漏洞非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作,2023/2/7,哈尔滨工程大学计算机科学与技术学院,11,缓冲区溢出攻击有多种英文名称buffer overflow、buffer overrun、smash the stacktrash the stack、scribble the stack、mangle the stack、memory leak、overrun screw第一个缓冲区溢出攻击-Morris蠕虫,发生在二十年前,它曾造成了全世界6000多台网络服务器瘫痪。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,12,缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为堆栈.在各个操作进程之间,指令会被临时储存在堆栈当中,堆栈也会出现缓冲区溢出。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,13,缓冲区溢出的原理通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,14,上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16,就会造成buffer的溢出,使程序运行出错。存在象strcpy这样的问题的标准函数还有:strcat(),sprintf(),vsprintf(),gets(),scanf()等,2023/2/7,哈尔滨工程大学计算机科学与技术学院,15,当然,随便往缓冲区中填东西造成它溢出一般只会出现“分段错误”(Segmentation fault),而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序属于root且有suid权限的话,攻击者就获得了一个有root权限的shell,可以对系统进行任意操作了。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,16,缓冲区溢出的漏洞和攻击缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能,这样可以使得攻击者取得程序的控制权,如果该程序具有足够的权限,那么整个主机就被控制了。一般而言,攻击者攻击root程序,然后执行类似“exec(sh)”的执行代码来获得root权限的shell。为了达到这个目的,攻击者必须达到如下的两个目标:1.在程序的地址空间里安排适当的代码。2.通过适当的初始化寄存器和内存,让程序跳转到入侵者安排的地址空间执行。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,17,(2)整数溢出漏洞整数分为无符号和有符号两类,其中有负符号整数最高位为1,正整数最高位为0,无符号整数无此限制;常见的整数类型8位(布尔、单字节字符等)16位(短整型、Unicode等)32位(整型、长整型)64位(_int64)等,2023/2/7,哈尔滨工程大学计算机科学与技术学院,18,整数溢出就是往存储整数的内存单位中存放的数据大于该内存单位所能存储的最大值,从而导致了溢出。举例当整型变量nIn输入小于sOut的最大值65535时,输出正常;否则,输出的值是对65536取模得到的。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,19,例子1,int num;num=argv(1);if(num+150000)strcpy(des,src);如果从外部获得num=ox7fffffff时,会发生什么?(十进制2147483647),2023/2/7,哈尔滨工程大学计算机科学与技术学院,20,例子2,代码/(1)char*buf;(2)int sizeBuf=sizeof(argv1)+260;(3)buf=new charsizeBuf;(4)memcpy(buf,argv1,sizeof(argv1);/,2023/2/7,哈尔滨工程大学计算机科学与技术学院,21,如果sizeof(argv1)=2 147 483 388sizeBuf=2 147 483 388+260=2 147 483 648这个值大于有符号数的最大值,因此变为一个负数导致后面的memcpy发生严重的内存溢出错误,2023/2/7,哈尔滨工程大学计算机科学与技术学院,22,(3)格式化字符串漏洞由于程序的数据输出函数对输出数据的格式解析不当而引发的%d,%o,%x,%u,%f,%e,%g,%c,%s,2023/2/7,哈尔滨工程大学计算机科学与技术学院,23,#include#includeint main()printf(“s%n”,”abcdef”);/printf(“c%n”,”abcdef”);/return 0;,2023/2/7,哈尔滨工程大学计算机科学与技术学院,24,(4)指针覆盖漏洞对于一个程序来说,内存中的数据往往都影响着程序的执行流程,因为程序将取出某个内存地址中的内容作为它下一个将要执行的地址。这个时候,称这个程序执行地址的内存地址为“指针”。由于程序在运行中往往会将来自于程序外部的数据也存放进入内存中,如果某些数据恰好覆盖了程序的指针,那么程序的执行流程就会被这些外部数据所控制,这就是指针覆盖漏洞。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,25,缓冲区溢出漏洞主要是因为程序的返回地址被外部数据所覆盖,程序在函数调用返回的时候被外部数据控制。指针覆盖漏洞的范围则更广泛一些,外部数据不仅可以覆盖程序的函数返回地址,还可能覆盖程序运行中其他的关键地址。如程序正在调用指令call ecx,此时,ecx寄存器中的数据来源于内存中的某个地址。一旦程序发生指针覆盖漏洞,ecx索取数据的这个内存地址被一个执行ShellCode代码的地址所覆盖,那么程序一旦调用call ecx指令,ShellCode就会马上被执行。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,26,指针覆盖漏洞可能是最近几年软件安全中出现最多的漏洞。缓冲区溢出漏洞则随着一些安全技术的提高慢慢开始消失,尤其近几年CPU硬件设计者采用的一些硬件级别的防止缓冲区溢出漏洞的方法,更加使得缓冲区溢出漏洞难以被利用。但是对于指针覆盖漏洞来说,由于它不牵涉用过长的数据覆盖内存数据,而是让程序主动修改自己的关键寄存器数据,从而使得硬件级别的方法也无法防止这种漏洞被恶意利用,2023/2/7,哈尔滨工程大学计算机科学与技术学院,27,(5)SQL注入漏洞(6)Bypass漏洞Bypass漏洞翻译过来就是“绕过漏洞”假设一个软件,只允许管理员登录,不允许其他人登录。可是你发现利用某种方法,即使你不知道管理员密码,也能够登录该软件,这时候,就发现了一个“登录限制绕过漏洞”。假设一个软件,限制你访问某些特定的文件,如被加密的文件。可是,你发现利用修改文件属性的方法可以使得你能够访问特定的被加密文件,这个时候,你绕过了软件的限制,就是发现了一个“文件限制绕过漏洞”。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,28,总的来说,Bypass漏洞是一个大类,包含了很多小类共同的特点,就是这些出现问题的软件在使用上都存在对用户使用的限制,而Bypass漏洞就可以绕过软件的限制,使得软件的限制形同虚设。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,29,Windows2000系统的输入法漏洞这个漏洞可以让你在不知道别人系统密码的情况下,成功地访问到系统内部的所有文件与数据信息,这就是。Windows2000系统的输入法漏洞允许用户在不知道系统密码的情况下,在输入用户名的窗口中调出“帮助”程序,借助“帮助”程序的“跳至URL”功能,访问到系统的任意一个文件,2023/2/7,哈尔滨工程大学计算机科学与技术学院,30,著名的谷歌输入法的漏洞只要安装了谷歌输入法的操作系统,不论你是WindowsXP还是WindowsVista,别人都可以在不知道你系统密码的情况下访问你系统中的任意一个文件对安全软件来说,Bypass漏洞更加具有危害性例如杀毒软件,一个原本是病毒的文件,由于杀毒软件存在Bypass漏洞,该病毒文件竟然绕过了被杀毒软件发现的安全保护机制,用户相信杀毒软件没有警告的文件一定是安全的,于是会放心地运行该病毒文件,后果可想而知。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,31,(7)信息泄露漏洞按照在操作系统上的软件会随时泄露自己系统中的信息分类本地式信息泄露漏洞原程式信息泄露漏洞,2023/2/7,哈尔滨工程大学计算机科学与技术学院,32,本地式信息泄露漏洞当用户在计算机系统上安装某个软件之后,该软件生成的文件会将用户计算机系统上的其他的数据信息在未经用户许可的情况下,擅自保存到文件中。当该文件被恶意攻击者获得后,恶意攻击者就可以借助该漏洞获得用户计算机系统的信息,从而造成用户信息被泄露。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,33,远程式信息泄露漏洞常见于提供远程网络服务的软件(8)越权型漏洞,2023/2/7,哈尔滨工程大学计算机科学与技术学院,34,漏洞利用过程,漏洞挖掘漏洞分析漏洞利用,2023/2/7,哈尔滨工程大学计算机科学与技术学院,35,漏洞利用过程-漏洞挖掘,比较权威的两个漏洞发布机构CVE(Common Vulnerabilities and Exposures)CERT(Computer Emergency Response Team)此外国外eEye、LSD等组织也对最新的漏洞进行及时跟踪分析,并给出相应的漏洞解决方案绿盟科技、启明星辰等单位是国内安全研究组织的代表,2023/2/7,哈尔滨工程大学计算机科学与技术学院,36,漏洞利用过程-漏洞挖掘,现有漏洞挖掘技术分类根据分析对象的不同,漏洞挖掘技术可以分为基于源码的漏洞挖掘技术基于目标代码的漏洞挖掘技术两大类,2023/2/7,哈尔滨工程大学计算机科学与技术学院,37,漏洞利用过程-漏洞挖掘,基于源码的漏洞挖掘前提是必须能获取源代码,对于一些开源项目,通过分析其公布的源代码,就可能找到存在的漏洞。例如对Linux系统的漏洞挖掘就可采用这种方法。但大多数的商业软件其源码很难获得,不能从源码的角度进行漏洞挖掘,2023/2/7,哈尔滨工程大学计算机科学与技术学院,38,漏洞利用过程-漏洞挖掘,基于目标代码的漏洞挖掘对目标码进行分析涉及编译器、指令系统、可执行文件格式等多方面的知识,难度较大 首先将要分析的二进制目标代码反汇编,得到汇编代码;然后对汇编代码进行切片,即对某些上下文关联密切、有意义的代码进行汇聚,降低其复杂性;最后通过分析功能模块,来判断是否存在漏洞。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,39,漏洞利用过程-漏洞挖掘,漏洞挖掘技术从逆向分析的软件测试角,又可分为三类白箱分析黑箱分析灰箱分析,2023/2/7,哈尔滨工程大学计算机科学与技术学院,40,漏洞利用过程-漏洞挖掘,常用的漏洞发现技术:手工测试manual testing静态分析static analysis运行时分析runtime analysis-动态分析技术二进制比较Diff and BinDifffuzzing技术,2023/2/7,哈尔滨工程大学计算机科学与技术学院,41,漏洞利用过程-漏洞挖掘,(1)手工测试通过客户端或服务器访问目标服务,手工向目标程序发送特殊的数据,包括有效的和无效的输入,观察目标的状态、对各种输入的反应,根据结果来发现问题的漏洞检测技术。手工测试不需要额外的辅助工具,可由测试者独立完成,实现起来比较简单。但这种方法高度依赖于测试者,需要测试者对目标比较了解。手工测试可用于Web应用程序、浏览器及其他需要用户交互的程序。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,42,漏洞利用过程-漏洞挖掘,(2)静态分析通过词法、语法、语义分析检测程序中潜在的安全问题,发现安全漏洞,基本思想是对源程序的静态扫描分析,故也归类为静态检测分析静态分析重点:检查函数调用及返回状态,特别是未进行边界检查或边界检查不正确的函数调用、由用户提供输入的函数、在用户缓冲区进行指针运算的程序等strcpy,strcat等可能造成缓冲区溢出的函数不需要运行软件程序就可以分析程序中可能存在的漏洞的分析技术,2023/2/7,哈尔滨工程大学计算机科学与技术学院,43,漏洞利用过程-漏洞挖掘,目前流行的软件漏洞静态分析技术主要包括源代码扫描反汇编扫描,2023/2/7,哈尔滨工程大学计算机科学与技术学院,44,漏洞利用过程-漏洞挖掘,源代码扫描主要针对开放源代码的程序,通过检测程序中不符合安全规则的文件结构、命名规则、函数、堆栈指针等,从而发现程序中可能隐含的安全缺陷这种漏洞分析技术需要熟练掌握编程语言,并预先定义出不安全代码的审查规则,通过表达式匹配的方法检查源代码由于程序运行时是动态变化的,如果不考虑函数调用的参数和调用环境,不对源代码进行词法分析和语法分析就没有办法准确的把握程序的语义,因此这种方法不能发现程序动态运行过程中的安全漏洞。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,45,漏洞利用过程-漏洞挖掘,反汇编扫描对于不公开源代码的程序来说往往是最有效的发现安全漏洞的办法。分析反汇编代码需要有丰富的经验,也可以使用辅助工具来帮助简化这个过程。但不可能有一种完全自动的工具来完成这个过程。例如,利用一种优秀的反汇编程序IDA就可以得到目标程序的汇编脚本语言,再对汇编出来的脚本语言使用扫描的方法,从而进一步识别一些可疑的汇编代码序列。从理论上讲,不管多么复杂的问题总是可以通过反汇编来解决的。它的缺点也是显然的,这种方法费时费力,对人员的技术水平要求很高,不能检测到程序动态运行过程中产生的安全漏洞。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,46,漏洞利用过程-漏洞挖掘,静态分析方法优点:高效快速,能够很快完成对源代码的检查,并且检查者不需要了解程序的实现方式,故非常适合自动化的源程序缓冲区溢出检查此外,它还能够较全面的覆盖系统代码,减少了漏报。但这种方法也存在很大的局限性不断扩充的特征库或词典,造成了检测的结果集大、误报率高;重点分析代码的“特征”,而不关心程序的功能,不会有针对功能及程序结构的分析检查,2023/2/7,哈尔滨工程大学计算机科学与技术学院,47,漏洞利用过程-漏洞挖掘,(3)动态分析技术在调试器中运行目标程序,通过观察执行过程中程序的运行状态、内存使用状况以及寄存器的值等以发现潜在问题,寻找漏洞从代码流和数据流两方面入手:通过设置断点动态跟踪目标程序代码流,以检测有缺陷的函数调用及其参数;对数据流进行双向分析,通过构造特殊数据触发潜在错误并对结果进行分析。动态分析需要借助调试器工具,SoftIce、OllyDbg、WinDbg等是比较强大的动态跟踪调试器。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,48,漏洞利用过程-漏洞挖掘,常见动态分析方法输入追踪测试法堆栈比较法故障注入分析法,2023/2/7,哈尔滨工程大学计算机科学与技术学院,49,漏洞利用过程-漏洞挖掘,动态分析方法的优点:在程序运行时进行分析,找到的漏洞即表现为程序错误,因此具有较高的准确率;它能够有针对性的对目标系统进行检查,从而能够准确的确定目标系统相应功能或模块的系统表现。此外,动态分析技术与黑盒测试非常相似,无须源代码,可以通过观察程序的输入和输出来分析,并对其进行各种检查,以验证目标程序是否有错误。如由输入引发的缓冲区溢出漏洞,可以使用此方法。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,50,漏洞利用过程-漏洞挖掘,局限性它效率不高,不容易找到分析点,需要熟悉目标系统且有丰富经验,技术复杂,对分析人员要求高,难以实现自动化发现在大规模项目的检查中,动态分析技术都受到较大的制约。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,51,漏洞利用过程-漏洞挖掘,(4)二进制比对技术又可称为补丁比对技术主要是被用以挖掘“已知”的漏洞,也可被认为是一种漏洞分析技术。由于安全公告中一般都不指明漏洞的确切位置和成因,使得漏洞的有效利用比较困难但漏洞一般都有相应的补丁,所以可以通过比较补丁前后的二进制文件,确定漏洞的位置和成因。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,52,漏洞利用过程-漏洞挖掘,补丁比对技术对于安全人员及黑客都是非常有用的技术通过补丁比对分析,定位漏洞代码再加以数据流分析,最后可以得到漏洞利用的攻击代码有经验的安全专家或黑客甚至能在很短的时间内就完成这个漏洞挖掘与利用的过程。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,53,漏洞利用过程-漏洞挖掘,补丁比对技术种类二进制字节比较若干字节变化的比较二进制文件反汇编后的文本比较缺乏对程序逻辑的理解,没有语义分析,适用于小文件和少量的变化这两种方法都不适合文件修改较多的情况,2023/2/7,哈尔滨工程大学计算机科学与技术学院,54,漏洞利用过程-漏洞挖掘,较复杂的方法Tobb Sabin提出的基于指令相似性的图形化比较前者可以发现文件中一些非结构化的变化,如缓冲区大小的改变等,并且图形化显示比较直观不足是受编译器优化的影响较大,且不能在两个文件中自动发现大量比较的起始点Halvar Flake提出的结构化二进制比较注重二进制可执行文件在结构上的变化,从而在一定程度上消除了编译器优化对分析二进制文件所带来的影响但这种方法不能发现非结构的变化。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,55,漏洞利用过程-漏洞挖掘,常用的补丁比对工具IDefense公司发布的IDACompareThe eEye Digital Security发布的Binary Diffing Suite(EBDS)Sabre Security的BinDiff以上都是基于结构化二进制比较技术的补丁比对工具NCNIPC还于2007年12月发布了NIPC Binary Differ(NBD)补丁比对工具,2023/2/7,哈尔滨工程大学计算机科学与技术学院,56,漏洞利用过程-漏洞挖掘,(5)Fuzzing技术(黑盒测试):基于缺陷注入的自动软件测试技术应用程序的输入:大量半有效的数据以程序是否出现异常为标志,来发现应用程序中可能存在的安全漏洞所谓半有效的数据是指对应用程序来说文件的必要标识部分和大部分数据是有效的,这样应用程序就会认为这是一个有效的数据同时该数据的其他部分是无效的,这样应用程序在处理该数据时就有可能发生错误这种错误能够导致应用程序的崩溃或者触发相应的安全漏洞。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,57,漏洞利用过程-漏洞挖掘,2023/2/7,哈尔滨工程大学计算机科学与技术学院,58,漏洞利用过程-漏洞挖掘,Fuzzing技术利用Fuzzer工具通过完全随机的或精心构造一定的输入来实现的Fuzzing技术根据应用对象主要可分为两类一类是文件格式的Fuzzing,主要针对图像格式、文档格式等另一类是协议的Fuzzing,主要针对RPC协议和HTTP协议等,2023/2/7,哈尔滨工程大学计算机科学与技术学院,59,漏洞利用过程-漏洞挖掘,Fuzzing测试通常以大小相关的部分、字符串、标志字符串开始或结束的二进制块等为重点,使用边界值附近的值对目标进行测试Fuzzing技术可以用于检测多种安全漏洞,包括:缓冲区溢出漏洞、整型溢出漏洞、格式化串漏洞、竞争条件漏洞、SQL注入、跨站点脚本、远程命令执行、文件系统攻击、信息泄露等。目前公布的安全漏洞中有许多都是使用Fuzzing技术检测发现的,并且有许多Fuzzing工具可以用于测试应用程序的安全性。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,60,漏洞利用过程-漏洞挖掘,Fuzzing技术与其它技术相比,优点思想简单、容易理解从发现漏洞到漏洞重现容易不存在误报缺点:具有黑盒测试的全部缺点不通用构造测试周期长,2023/2/7,哈尔滨工程大学计算机科学与技术学院,61,W32.Blaster.Worm,特征:1.被重启动;2.用netstat 可以看到大量tcp 135端口的扫描;3.系统中出现文件:%Windir%system32msblast.exe4.系统工作不正常,比如拷贝、粘贴功能不工作,IIS服务启动异常等;,2023/2/7,哈尔滨工程大学计算机科学与技术学院,62,W32.Blaster.Worm,传播机理利用DCOM RPC 漏洞进行传播导致系统不稳定,有可能造成系统崩溃扫描端口号是TCP/135传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe还将对进行拒绝服务攻击,不能使您及时地得到这个漏洞的补丁。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,63,BACK,RPC远程安全漏洞,Remote Procedure Call(RPC)Windows 操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制允许在某台计算机上运行程序无缝地在远程系统上执行代码。微软的Windows操作系统的RPC接口存在多个远程安全漏洞Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令,2023/2/7,哈尔滨工程大学计算机科学与技术学院,64,RPC远程安全漏洞,RPC的DCOM接口此接口处理由客户端机器发送给服务器的DCOM对象激活请求攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞成功利用此漏洞可以以本地系统权限执行任意指令攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,65,RPC远程安全漏洞,攻击者可以通过 135(UDP/TCP),137/UDP,138/UDP,139/TCP,445(UDP/TCP),593/TCP端口进行攻击对于启动了COM Internet服务和RPC over HTTP的用户来说,攻击者还可能通过80/TCP和443/TCP端口进行攻击。微软已经在其安全公告MS03-039中提供了安全补丁以修复上述漏洞,2023/2/7,哈尔滨工程大学计算机科学与技术学院,66,返回,SQL注入漏洞,ASP编程门槛很低:在安全性方面容易忽略SQL注入漏洞的问题用NBSI 2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞教育网里高校内部机构的一些网站这种漏洞就更普遍了,2023/2/7,哈尔滨工程大学计算机科学与技术学院,67,SQL注入漏洞,在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患网址http:/localhost/lawjia/show.asp?ID=444,将这个网址提交到服务器后,服务器将进行类似:Select*from 表名 where 字段=&ID ID即客户端提交的参数,本例是即444,2023/2/7,哈尔滨工程大学计算机科学与技术学院,68,SQL注入漏洞,再将查询结果返回给客户端,如果这里客户端故意提交这么一个网址:http:/localhost/lawjia/show.asp?ID=444 and user0 这时,服务器运行 Select*from 表名 where 字段=444 and user0 当然这个语句是运行不下去的,肯定出错,错误信息如下:,2023/2/7,哈尔滨工程大学计算机科学与技术学院,69,SQL注入漏洞,从这个出错信息中,可以获得以下信息:该站使用MSSQL数据库用ODBC连接连接帐号名为:sonybb。所谓SQL注入(SQL Injection)利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取想得到的资料。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,70,SQL注入漏洞,通常别有用心者的目标是获取网站管理员的帐号和密码比如当某个人知道网站管理员帐号存在表login中,管理员帐号名为admin,他想知道管理员密码,这里他从客户端接着提交这样一个网址:http:/localhost/lawjia/show.asp?ID=444 and(Select password from login where user_name=admin)0,返回的出错信息如下:,2023/2/7,哈尔滨工程大学计算机科学与技术学院,71,SQL注入漏洞,2023/2/7,哈尔滨工程大学计算机科学与技术学院,72,BACK,莫里斯蠕虫,病毒简介编写者是美国康乃尔大学一年级研究生罗特莫里斯这个程序只有99行,利用了Unix系统中的缺点,用Finger命令查联机用户名单,然后破译用户口令,用Mail系统复制、传播本身的源程序,再编译生成代码。最初的网络蠕虫设计目的是当网络空闲时,程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时,该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”,而是“耗尽所有资源”。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,73,1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。它们仿佛是网络中的超级间谍,狡猾地不断截取用户口令等网络中的“机密文件”,利用这些口令欺骗网络中的“哨兵”,长驱直入互联网中的用户电脑。入侵得手,立即反客为主,并闪电般地自我复制,抢占地盘。,2023/2/7,哈尔滨工程大学计算机科学与技术学院,74,用户目瞪口呆地看着这些不请自来的神秘入侵者迅速扩大战果,充斥电脑内存,使电脑莫名其妙地“死掉”,只好急如星火地向管理人员求援,哪知,他们此时四面楚歌,也只能眼睁睁地看着网络中电脑一批又一批地被病毒感染而“身亡”。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。到11月3日清晨5点,当加州伯克利分校的专家找出阻止病毒蔓延的办法时,短短12小时内,已有6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪,不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元的空前大劫难!,2023/2/7,哈尔滨工程大学计算机科学与技术学院,75,当警方已侦破这一案件并认定莫里斯是闯下弥天大祸的“作者”时,纽约州法庭却迟迟难以对他定罪。在当时,对制造电脑病毒事件这类行为定罪,还是世界性的难题。前苏联在1987年曾发生过汽车厂的电脑人员用病毒破坏生产线的事件,法庭只能用“流氓罪”草草了事。1990年5月5日,纽约地方法庭根据罗伯特莫里斯设计病毒程序,造成包括国家航空和航天局、军事基地和主要大学的计算机停止运行的重大事故,判处莫里斯三年缓刑,罚款一万美金,义务为新区服务400小时。莫里斯事件震惊了美国社会乃至整个世界。而比事件影响更大、更深远的是:黑客从此真正变黑,黑客伦理失去约束,2023/2/7,哈尔滨工程大学计算机科学与技术学院,76,返回,