漏洞分析和渗透测试.pptx

漏洞分析及渗透测试 1 目录 2 漏洞攻击类型分析 3 常见的漏洞类型 No.1 中国互联网大面积DNS解析故障 时间 目标 利用方式 详情 近年来网络安全事件 No.2 携程信息“安全门”事件 近年来网络安全事件 cause：由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。 No.3 “心脏出血”严重漏洞事件爆发 近年来网络安全事件 cause：这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。如果长时间大量的对该漏洞进行利用可以获取用户登录的帐号密码等信息。 No.4 快递公司官网遭入侵 近年来网络安全事件 No.5 iCloud曝安全漏洞 苹果陷入“艳照门”事件 近年来网络安全事件 cause：一名黑客利用“寻找丢失 iPhone”(Find me iPhone)功能漏洞盗取用户信息。由于 iCloud 允许用户多次尝试密码，黑客针对某些女星的公开邮件账号反复猜测，并获取她们相机里面的私人照片以及其它明星的邮件地址。事件被证实是针对部分女星的有目的黑客行为。 No.6 130万考研用户信息被泄露 近年来安全事件 No.7 阿里云遭DDoS攻击 近年来网络安全事件 No.8 索尼影业被黑 近年来网络安全事件 SQLMAP用例 14