关于漏洞的基本知识.docxVIP

PAGE 1 PAGE 1 关于漏洞的基本知识  漏洞是一种在某些状况下会导致程序错误运行的程序错误（bug）。攻击者常常会利用漏洞来滥用程序实施破坏。本文详细介绍了漏洞的分类和特点。  在迈克菲试验室(McAfeeLabs)的威逼警告中，漏洞这个字眼几乎随处可见。无论是发觉了一个“漏洞”，还是在某些版本中存在“漏洞”，这样的描述都司空见惯。那么，毕竟什么是“漏洞”?漏洞是一种在某些状况下会导致程序错误运行的程序错误(bug)。攻击者常常会利用漏洞来滥用程序实施破坏。  假如把系统比作成一个建筑物，那么在这个建筑物中，操作系统(OS)是基础结构，为系统供应支持，为建筑物供应支撑作用。应用程序则是建筑物中的房间，或者是房间中的各种设施，都是在建筑搭建好的基础架构上实现的，系统用户是建筑物里的住户。门和窗是建筑物里各个房间之间的交互通道，它们是早就设定好的，而漏洞，则是一些本不该存在的门、窗户，或者是墙上莫名出现的一个洞，更有可能是一些会破坏建筑物的危急材料或物品——这些缺陷和问题会使生疏人侵入建筑物，或者使建筑物遭遇安全威逼。这就是漏洞，对于系统来说，若出于安全的考虑，就必需最大限度的削减漏洞的存在，因为它会成为入侵者侵入系统和恶意软件植入的入口，影响我们系统用户的切身利益。  每一个漏洞都是不尽相同的，但依据其入侵方式的不同，可以将它们分为本地漏洞和远程漏洞。  本地漏洞：  本地漏洞需要入侵者利用自己已有的或窃取来的身份，以物理方式访问机器和硬件。在我们的类比中，入侵者要么必需是建筑物中的住户，要么必需假冒成建筑物中的住户。  远程漏洞：  相比本地漏洞，远程漏洞则不需要入侵者出现。攻击者只需要向系统发送恶意文件或者恶意数据包就能实现入侵。这就是远程漏洞比本地漏洞更危急的原因。  将漏洞根据风险级别对其分类，又可分为高风险漏洞、中等风险漏洞或低风险漏洞。风险级别在很大程度上取决于每个人所采用的标准，迈克菲定义风险是为了让客户清晰地预知将来将会发生什么，能提高警惕。  高风险漏洞：  远程代码执行(RCE)：攻击者能够充分利用这一风险最高的漏洞来完全掌握易受攻击的系统。由于这种漏洞使恶意软件能够在用户尚未得到警告的状况下运行，一些最危急的恶意软件便常常需要利用这种漏洞来发起攻击。若出现针对某一漏洞，系统商供应了安全补丁，这通常意味着这个漏洞就属于高风险漏洞，用户最好不要忽视任何相关警告。  拒绝服务(DoS)：作为另一种高风险漏洞，DoS会导致易受攻击的程序(甚至硬件)冻结或崩溃。AnonymousGroup就是利用DoS漏洞发起攻击的。假如遭到攻击的结构是路由器、服务器或任何其他网络基础设施，不难想象局面的混乱程度。DoS漏洞的严重性视被隔离的房间而定。比如和贮存室比起来,浴室或者客厅要重要得多。  中等风险漏洞：  这些漏洞就像“兄弟姐妹”，虽然特别相似，但在详细状况上存在微小差别。中等风险包括权限提升(PrivilegeEscalation)　这对“双胞胎”和它们被称为安全旁路(SecurityBypass)　的“兄弟”。  权限提升(PE)：该漏洞使攻击者通常能够在未获得合法用户权限的状况下执行操作。它们之所以被称为“双胞胎”，是因为可以分为两类：水平PE和垂直PE。水平PE使攻击者能够获得其他同级别用户所拥有的权限，这类漏洞最常见的攻击出现在论坛。攻击者可以从一个用户账户“跳到”另一个，浏览和修改信息或帖子，但通常只拥有同级别权限。而垂直PE则为攻击者供应了更多实际用户期望享有的权限。例如，攻击者从本地用户“跳升”至管理员。从而使攻击者能够部分或完全进入系统中某些受限制区域，进而实施破坏。  安全旁路(SB)：广义而言，安全旁路与PE一样，是指攻击者未经许可就可以执行操作。区分在于，旁路之在连入互联网的系统环境中生效。假如程序有安全旁路漏洞，会使担心全的流量能够逃过检测。  中等风险漏洞本身并不太危急，假如系统得到妥当保护，不会造成灾难性的后果。真正的危急在于权限提升和安全旁路产生的连锁反应。如攻击者以平凡用户或来宾身份进入，躲过安全措施，然后安装或更改程序，从而会造成大量破坏。相比远程代码执行，虽然攻击者很难利用权限提升和安全旁路的方法进入我们的“建筑物”(指系统)，但并不是不可能。  低风险漏洞：  信息泄露(ID)：该漏洞使攻击者能够浏览正常状况下无法访问的信息。信息泄露是一种低风险漏洞，攻击者只能浏览信息，无法执行其他实质性操作。假如想使用这里的信息，攻击者必需利用其他漏洞或找到关键信息，如密码文件等。不过，我们必需视详细状况对信息泄露进行分析，