最新平台安全保密防护技术培训讲座PPT.ppt

漏洞利用过程--漏洞挖掘 Fuzzing技术 利用Fuzzer工具通过完全随机的或精心构造一定的输入来实现的 Fuzzing技术根据应用对象主要可分为两类 一类是文件格式的Fuzzing，主要针对图像格式、文档格式等 另一类是协议的Fuzzing，主要针对RPC协议和HTTP协议等 * 哈尔滨工程大学计算机科学与技术学院 * 漏洞利用过程--漏洞挖掘 Fuzzing测试通常 以大小相关的部分、字符串、标志字符串开始或结束的二进制块等为重点，使用边界值附近的值对目标进行测试 Fuzzing技术可以用于检测多种安全漏洞，包括：缓冲区溢出漏洞、整型溢出漏洞、格式化串漏洞、竞争条件漏洞、SQL注入、跨站点脚本、远程命令执行、文件系统攻击、信息泄露等。 目前公布的安全漏洞中有许多都是使用Fuzzing技术检测发现的，并且有许多Fuzzing工具可以用于测试应用程序的安全性。 * 哈尔滨工程大学计算机科学与技术学院 * 漏洞利用过程--漏洞挖掘 Fuzzing技术与其它技术相比，优点 思想简单、容易理解 从发现漏洞到漏洞重现容易 不存在误报 缺点： 具有黑盒测试的全部缺点 不通用 构造测试周期长 * 哈尔滨工程大学计算机科学与技术学院 * W32.Blaster.Worm 特征： 1. 被重启动； 2. 用netstat 可以看到大量tcp 135端口的扫描； 3. 系统中出现文件：%Windir%\system32\msblast.exe 4. 系统工作不正常，比如拷贝、粘贴功能不工作，IIS服务启动异常等； * 哈尔滨工程大学计算机科学与技术学院 * W32.Blaster.Worm 传播机理 利用DCOM RPC 漏洞进行传播 导致系统不稳定，有可能造成系统崩溃 扫描端口号是TCP/135 传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe 还将对进行拒绝服务攻击，不能使您及时地得到这个漏洞的补丁。 * 哈尔滨工程大学计算机科学与技术学院 * BACK RPC远程安全漏洞 Remote Procedure Call (RPC) Windows 操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制 允许在某台计算机上运行程序无缝地在远程系统上执行代码。 微软的Windows操作系统的RPC接口存在多个远程安全漏洞 Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题 远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令 * 哈尔滨工程大学计算机科学与技术学院 * RPC远程安全漏洞 RPC的DCOM接口 此接口处理由客户端机器发送给服务器的DCOM对象激活请求 攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞 成功利用此漏洞可以以本地系统权限执行任意指令 攻击者可以在系统上执行任意操作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。 * 哈尔滨工程大学计算机科学与技术学院 * RPC远程安全漏洞 攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP, 139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击 对于启动了COM Internet服务和RPC over HTTP的用户来说，攻击者还可能通过80/TCP和443/TCP端口进行攻击。 微软已经在其安全公告MS03-039中提供了安全补丁以修复上述漏洞 * 哈尔滨工程大学计算机科学与技术学院 * 返回 SQL注入漏洞 ASP编程门槛很低：在安全性方面容易忽略SQL注入漏洞的问题 用NBSI 2.0对网上的一些ASP网站稍加扫描，就能发现许多ASP网站存在SQL注入漏洞 教育网里高校内部机构的一些网站这种漏洞就更普遍了 * 哈尔滨工程大学计算机科学与技术学院 * SQL注入漏洞 在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患 网址http://localhost/lawjia/show.asp?ID=444，将这个网址提交到服务器后，服务器将进行类似： Select * from 表名 where 字段=ID ID即客户端提交的参数，本例是即444 * 哈尔滨工程大学计算机科学与技术学院 * SQL注入漏洞 再将查询结果返回给客户端，如果这里客户端故意提交这么一个网址: http://localhost/lawjia/show.asp?ID=444 and user0 这时，服务器运行 Select * from 表名 where 字段=444 and user0 当然这个语句是运行不下去的，肯定出错，错误信