计算机安全技术-3.2网络入侵.pptVIP

3.2网络入侵 一条新闻 2008年，全球黑客领域一项顶级赛事CanSecWest安全大会在加拿大温哥华拉开了帷幕。该赛事由CanSecWest安全会议进行组织，主办方提供了三台运行不同操作系统的笔记本电脑，分别是Linux、Mac OS X和Vista，供参赛黑客攻击。 第一天，只允许黑客利用网络进行攻击，而没有用户干预。因此，三台笔记本电脑均安然无恙。 一条新闻 第二天，允许选手实施要求用户进行某种操作的攻击行为,比如访问嵌入恶意代码的网站或打开邮件等，结果， Mac OS X在30秒钟内即被攻破。 Miller利用的是苹果Safari浏览器漏洞，只用了30秒钟就攻破了Mac OS X系统。 第三天，由谢恩·麦考利(Shane Macaulay)等人组成的小组攻破了Vista笔记本。 黑客发现其中的Adobe Flash软件中有个尚未被公布的漏洞 。 据悉，尽管少数参赛小组试图攻击Linux系统，但均未获成功。尽管有人发现了Linux漏洞，但却没有按照大赛要求开发攻击代码。 2009黑客大赛曝Safari、IE8与Firefox零日攻击 美国时间3月18日，由Tipping Point发起的第三届Pwn2Own黑客技术大赛拉开帷幕。 在首日的比赛中，参赛者需要试图攻破主打有完整补丁的主流浏览器(IE8，Firefox，Chrome，Safari)以及拥有严格限制的智能手机(Blackberry，Android，iPhone，Nokia/Symbian，Windows Mobile)。 作为为期三天的比赛奖励，Zero Day Initiative将为浏览器漏洞发现者提供5000美元并赠送所使用计算机，而智能手机的漏洞发现这将得到10000美元的奖励外加所攻破智能手机一年的使用权。 2009黑客大赛曝Safari、IE8与Firefox零日攻击 在第一天的Pwn2Own比赛中，智能手机的安全性经受住了考验，而主流的浏览器们却没那么幸运，两位获胜者Charlie Miller和Nils分别攻破了Safari(两次)、IE8以及Firefox。 去年的得奖者之一Charlie Miller在第一天的浏览器攻击比赛中，仅用时2分钟便再次攻破Mac OS X的Safari浏览器。 2009黑客大赛曝Safari、IE8与Firefox零日攻击 另一位参赛者Nils，则在Windows7品台上成功突破了IE8的安全防护，这其中包括微软最新采用的保护技术-DEP(Data Execution Prevention，数据执行保护)和ASLR(Address Space Layout Randomization，地址空间布局随机化)，这一举动让IE8的安全性再次引起广泛关注，最终Nils赢得了最新的索尼Vaio笔记本和5000美元的奖金。 时隔不久，Nils再次让Pwn2Own的参与者沸腾，他利用Safari中的一个绘图工具的漏洞，快速拿下苹果Safari浏览器，并在此获得5000美金的奖励和苹果小白。在成功突破两款主流浏览器后，Nils再接再励又将FireFox浏览器斩落马下。 2010黑客大赛微软IE8、苹果Safari及火狐(Firefox)等三大浏览器相继被攻破 在PWN2OWN 2010黑客大赛上，Independent Security Evaluators首席安全分析师Charlie Miller利用Safari的漏洞率先拿下了一台MacBook Pro，并获得了10000美元奖金。 2010黑客大赛微软IE8、苹果Safari及火狐(Firefox)等三大浏览器相继被攻破 ?Dutch安全机构研究员Peter Vreugdenhil也成功利用IE8的多个漏洞攻破了64位Winows 7操作系统，他因此获得了1万美元的奖金和一部Windows电脑。 2010黑客大赛微软IE8、苹果Safari及火狐(Firefox)等三大浏览器相继被攻破 来自InfoSecurity的Nils成功在64位Windows 7上攻破了Firefox 3，利用一个已知的内存破坏漏洞他使用calc.exe绕过了DEP和ASLR，这和Peter攻破IE8如出一辙。 内容提要 介绍目前常用的网络攻击手段： 社会工程学攻击 物理攻击 暴力攻击 利用Unicode漏洞攻击 利用缓冲区溢出漏洞进行攻击等技术。 并结合实际，介绍流行的攻击工具的使用以及部分工具的代码实现。 社会工程学攻击 社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了