网络对抗原理第5章.pdf

第5章安全漏洞分析　　　 第5章安全漏洞分析 5.1 安全漏洞的分类 5.2 安全漏洞的查找 第5章安全漏洞分析　　　 5.1 安全漏洞的分类 5.1.1 术语 在介绍安全漏洞分类之前，首先介绍一些相关的术语。 计算机系统是由“状态(State)”组成的。所谓的“状态” ， 是指描述组成计算机系统的各实体的当前配置。系统通过 “状态转移”来实现系统状态之间的转换。 “易受攻击状态(Vulnerable State)”：是一种授权状态，但 这种状态可通过授权状态转移到非授权状态。这种状态下， 用户可以在没有授权的前提下读取和修改信息等。 第5章安全漏洞分析　　　 “漏洞利用(Exploiting a Vulnerability)” ：指系统处 于一种易受攻击状态，同时用户(一般称为“攻击者”)在 没有授权的情况下进行读和写信息等操作。 “脆弱性(Vulnerability)”(也称“缺陷(Flaw)” 、“漏洞 (Hole)”) ：指系统附带的软件、硬件或管理进程使系统 到达易受攻击状态的特性。 5.1.2 程序分析 程序分析(PA ，Program Analysis) 是Neumann 提出 的，其研究的目的在于希望能推导或找出错误的模 式，从而能实现安全错误的自动检测。它把漏洞分成 四个主类： 第5章安全漏洞分析　　　 1. 保护不当(初始化和执行) 保护不当包括以下几个子类： (1) 初始化保护区域不当：在系统初始化时，安全 设置或完整性级别初始化不当；用户可通过关键函数 直接处理关键数据。 (2) 实现细节隔离不当：允许用户绕过操作系统控 制写绝对输入/输出地址；直接处理“ 隐含”数据结构， 如把目录文件作为一般文件写；可通过内存分页进行 推论等。 (3) 不恰当的更改：是一种“检查时间与使用时间” 的错误，意外的参数改变等。 第5章安全漏洞分析　　　 (4) 命名不当：允许两个不同的对象使用相同的名 称，从而导致引用混乱。 (5) 存储单元重新分配或删除不当：一个过程把数 据存放在内存中，随后把内存释放以重新分配，当此 内存分配给另一个过程时，第二个过程就可以访问第 一个过程的信息。 2. 验证不当 验证不当是不检查关键条件和参数，导致过程的 地址位于内存空间之外，允许类型冲突、溢出等。 第5章安全漏洞分析　　　 3. 同步不当 同步不当包括以下子类： (1) 不可分操作使用不当：如中断原子操作；高速 缓存不一致等。 (2) 错误的顺序：操作的顺序不对(如在写操作时进 行读操作) 。 4. 操作数或操作选择不当 操作数或操作选择不当是指使用错误的函数或错误 的参数。 这种分类法不是互斥的。特别是第二类和第四类经 常重叠，这是因为验证不当会传递不正确的操作数。 第5章安全漏洞分析　　　 5.1.3 RISOS RISOS分类法主要研究操作系统软件，但对应用程序也 适用。它把安全错误分成七类。 (1) 参数验证不完整：没有检验用作数组索引的参数是否 在数组维数的范围之内。 (2) 参数验证不一致：某个子程序允许共享文件名包含空 格的文件，但其他文件操作子程序(如取消共享访问的子程序) 不处理这些文件。 (3) 隐藏共享特权/机密数据：利用系统负载调制发送信息。 (4) 验证不同步/顺序不当：检查文件的访问权限和打开文 件采用非原子操作，则会使得其他过程在检查和打开文件之 间改变文件名和数据间的绑定关系。 第5章安全漏洞分析　　　 (5) 识别/认证/授权不充分：运行只通过名字来识 别的系统程序，同时