第5章 漏洞检测.pptVIP

为什么需要漏洞检测 对于网络信息系统的安全而言，仅具有事后追查或实时报警功能的安全检测装备是不够的，还需要具备系统安全漏洞扫描能力的事先检查型安全工具。 系统漏洞检测又称漏洞扫描，即对重要网络信息系统进行检查，发现其中可被攻击者利用的漏洞。 漏洞的危害 漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷或者不足。 漏洞一旦被发现，就可以使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或者破坏系统，从而危害计算机系统安全。 漏洞产生的原因 漏洞的成因很多，一般有以下几类： 网络协议漏洞 应用软件系统漏洞 配置不当引起的漏洞 网络协议漏洞 TCP/IP协议组是目前使用最为广泛的网络互连协议之一。 TCP/IP协议将网络互连和开放性作为首要考虑的问题，而没有过多的考虑安全性。 造成了TCP/IP协议族本身的不安全性，导致一系列基于TCP/IP的网络服务的安全性也相当脆弱。 应用软件系统漏洞 任何一种软件系统都或多或少存在一定的脆弱性。 因为很多软件在设计时忽略或者很少考虑安全性问题。 应用软件系统的漏洞有两种： 由于操作系统本身设计缺陷带来的安全漏洞，这种漏洞将被运行在该系统上的应用程序所继承； 应用软件程序的安全漏洞。 配置不当引起的漏洞 在一些网络系统中忽略了安全策略的制定； 即使采取了一定的网络安全措施，但由于系统的安全配置不合理或不完整，安全机制没有发挥作用； 或者在网络系统发生变化后，由于没有及时更改系统的安全配置而造成安全漏洞。 漏洞的分类标准 系统安全漏洞主要概括为以下几方面特征属性： 漏洞被攻击者利用的方式 漏洞形成的主要原因 漏洞对系统安全造成的危害 漏洞对系统安全造成的直接威胁 漏洞的触发条件 漏洞的操作角度 漏洞的发生时序。 这里我们根据这几个方面对系统漏洞进行分类。 漏洞的分类标准 根据漏洞被攻击者利用的方式分为： 本地漏洞 远程漏洞 本地漏洞 攻击者是系统本地的合法用户或已经通过其他攻击方法获得了本地权限的非法用户。 攻击者必须在本机拥有访问权限前提下才能发起攻击的漏洞。 比较典型的是本地权限提升漏洞，这类漏洞在Unix系统中广泛存在，能让普通用户获得最高管理员权限。 远程漏洞 攻击者是指通过网络，对连接在网络上的任意一台机器的进行攻击。 可分为入侵攻击与破坏攻击两种方式。 这类漏洞危害极大，攻击者能随心所欲的通过此漏洞操作他人的电脑。 此类漏洞很容易导致蠕虫攻击。 漏洞的分类标准 根据漏洞形成的主要原因分为： 输入验证错误（Input Validation Error） 缓冲区溢出（Buffer Overflow） 设计错误（Design Error） 意外情况处置错误（Exceptional Condition Handling Error） 访问验证错误（Access Validation Error） 配置错误（Configuration Error） 竞争条件（Race Condition） 环境错误（Condition Error） 漏洞的分类标准 根据漏洞对系统安全造成的危害分为： 获得普通用户权限 获得其他用户权限 漏洞的分类标准 根据漏洞对系统安全造成的直接威胁分为： 普通用户访问权限 权限提升 本地管理员权限 远程管理员权限 本地拒绝服务 远程拒绝服务 服务器信息泄露 远程非授权文件存取 读取受限文件 口令恢复 欺骗 漏洞的分类标准 根据漏洞的触发条件分为： 主动触发漏洞，攻击者可以主动利用该漏洞进行攻击，如直接访问他人计算机。 被动触发漏洞，必须要计算机的操作人员配合才能进行攻击利用的漏洞。（比如攻击者给管理员发一封邮件，带了一个特殊的jpg图片文件，如果管理员打开图片文件就会导致看图软件的某个漏洞被触发，从而系统被攻击，但如果管理员不看这个图片则不会受攻击。） 漏洞的分类标准 根据漏洞的操作角度分为： 文件操作类型 内存覆盖 逻辑错误 文件操作类型 主要为操作的目标文件路径可被控制（如通过参数、配置文件、环境变量、符号链接等） 导致下面两个问题： 写入内容可被控制，从而可伪造文件内容，导致权限提升或直接修改重要数据(如修改存贷数据) 内容信息可被输出，包含内容被打印到屏幕、记录到可读的日志文件、产生可被用户读的core文件等等 内存覆盖 主要为内存单元可指定，写入内容可指定； 这样就能执行攻击者想执行的代码（缓冲区溢出、格式串漏洞、PTrace漏洞、历史上Windows 2000的硬件调试寄存器用户可写漏洞）； 或能直接修改内存中的机密数据。 逻辑错误 这类漏洞广泛存在，但很少有范式，所以难以查觉。 可细分为： 外部命令执行问题 SQL注入问题 漏洞的分类标准