3.2 安全漏洞的檢測與修復(fù)

第2節(jié)安全漏洞的檢測與修復(fù)第3章目

錄01安全漏洞的檢測02安全漏洞的修復(fù)01安全漏洞的檢測安全漏洞檢測技術(shù)漏洞檢測分類已知漏洞的檢測未知漏洞的檢測已知漏洞的檢測主要是通過安全掃描技術(shù)，檢測系統(tǒng)是否存在已公布的安全漏洞未知漏洞檢測的目的在于發(fā)現(xiàn)軟件系統(tǒng)中可能存在但尚未發(fā)現(xiàn)的漏洞?，F(xiàn)有的未知漏洞檢測技術(shù)有以下幾種源代碼掃描反匯編掃描環(huán)境錯(cuò)誤注入安全掃描也稱為脆弱性評(píng)估（VulnerabilityAssessment），其基本原理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢測，可以對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫等各種對(duì)象進(jìn)行安全漏洞檢測。安全漏洞掃描針對(duì)已知漏洞的檢測安全漏洞掃描原理源代碼掃描主要針對(duì)開放源代碼的程序，通過檢查程序中不符合安全規(guī)則的文件結(jié)構(gòu)、命名規(guī)則、函數(shù)、堆棧指針等，進(jìn)而發(fā)現(xiàn)程序中可能隱含的安全缺陷。這種漏洞分析技術(shù)需要熟練掌握編程語言，并預(yù)先定義出不安全代碼的審查規(guī)則，通過表達(dá)式匹配的方法檢查源程序代碼。針對(duì)未知漏洞的檢測源代碼掃描源代碼掃描原理反匯編掃描反匯編掃描反匯編掃描對(duì)于不公開源代碼的程序來說往往是最有效的發(fā)現(xiàn)安全漏洞的辦法。分析反匯編代碼需要有豐富的經(jīng)驗(yàn)，也可以使用輔助工具來幫助簡化這個(gè)過程，但不可能有一種完全自動(dòng)的工具來完成這個(gè)過程。例如，利用反匯編程序IDA就可以得到目標(biāo)程序的匯編腳本語言，再對(duì)匯編出來的腳本語言進(jìn)行掃描，進(jìn)而識(shí)別一些可疑的匯編代碼序列。環(huán)境錯(cuò)誤注入環(huán)境錯(cuò)誤注入總結(jié)環(huán)境錯(cuò)誤注入指的是，在軟件運(yùn)行的環(huán)境中故意注入人為的錯(cuò)誤，并驗(yàn)證反應(yīng)，這是驗(yàn)證計(jì)算機(jī)和軟件系統(tǒng)的容錯(cuò)性、可靠性的一種有效方法。在測試過程中，錯(cuò)誤被注入到環(huán)境中，所以產(chǎn)生了干擾。上述幾種檢測方法中，安全掃描技術(shù)主要是針對(duì)已知漏洞的檢測，后面三種主要是針對(duì)未知漏洞的檢測。對(duì)于未知漏洞的檢測，源代碼掃描、反匯編掃描屬于靜態(tài)檢測技術(shù)，而環(huán)境錯(cuò)誤注入屬于動(dòng)態(tài)檢測技術(shù)。02安全漏洞的修復(fù)漏洞修復(fù)前的準(zhǔn)備常見漏洞修復(fù)的方法操作系統(tǒng)漏洞更新/升級(jí)版本、安裝補(bǔ)丁、安裝防火墻或其他安全防護(hù)設(shè)備應(yīng)用程序漏洞更新/升級(jí)版本、安裝補(bǔ)丁Web網(wǎng)站漏洞修改源代碼、安裝WAF或其他安全防護(hù)設(shè)備什么是補(bǔ)?。繉?duì)于操作系統(tǒng)而言，補(bǔ)?。≒atch）指的是：解決系統(tǒng)漏洞問題的程序。常見系統(tǒng)補(bǔ)丁分類高危漏洞補(bǔ)丁軟件安全更新補(bǔ)丁可選的高危漏洞補(bǔ)丁其他及功能性更新補(bǔ)丁無效補(bǔ)丁（已過期補(bǔ)丁、已忽略補(bǔ)丁、已屏蔽補(bǔ)?。┞┒葱迯?fù)的注意事項(xiàng)為什么要安裝補(bǔ)??？安裝補(bǔ)丁是漏洞修復(fù)的技術(shù)手段之一。數(shù)據(jù)顯示，及時(shí)安裝有效補(bǔ)丁可避免約95%的信息安全損失。補(bǔ)丁修復(fù)中存在的兩難問題打什么樣的補(bǔ)??？——補(bǔ)丁質(zhì)量問題如何打補(bǔ)?。俊僮鞣绞絾栴}什么時(shí)間打補(bǔ)??？——修復(fù)時(shí)機(jī)問題漏洞修復(fù)的方式WindowsMS17-010漏洞補(bǔ)丁文件01.手動(dòng)補(bǔ)丁修復(fù)補(bǔ)丁存在方式的分類從文件類型角度以源代碼形式存在以二進(jìn)制形式存在從內(nèi)存角度文件補(bǔ)丁（冷補(bǔ)?。﹥?nèi)存補(bǔ)丁（熱補(bǔ)?。┤绾蜗螺d補(bǔ)丁01.手動(dòng)補(bǔ)丁修復(fù)訪問/zh-cn/download/windows.aspx進(jìn)入微軟補(bǔ)丁下載頁面漏洞修復(fù)的方式如何安裝補(bǔ)丁01.手動(dòng)補(bǔ)丁修復(fù)在微軟官網(wǎng)下載補(bǔ)丁文件后，雙擊補(bǔ)丁程序，最后重啟系統(tǒng)即可。漏洞修復(fù)的方式打開漏洞修補(bǔ)工具（電腦管家、安全衛(wèi)士），找到“漏洞修復(fù)”功能即可下載。2.第三方軟件補(bǔ)丁修復(fù)如何下載補(bǔ)丁漏洞修復(fù)的方式2.第三方軟件補(bǔ)丁修復(fù)在漏洞修補(bǔ)工具（電腦管家、安全衛(wèi)士），單擊“安裝”按鈕，即可下載并安裝補(bǔ)丁。如何安裝補(bǔ)丁漏洞修復(fù)的方式漏洞檢測及修復(fù)案例永恒之藍(lán)是指2017年4月14日晚，黑客團(tuán)體ShadowBrokers（影子經(jīng)紀(jì)人）公布一大批網(wǎng)絡(luò)攻擊工具，其中包含“永恒之藍(lán)”工具，“永恒之藍(lán)”利用Windows系統(tǒng)的SMB協(xié)議漏洞可以獲取系統(tǒng)最高權(quán)限。5月12日，不法分子通過改造“永恒之藍(lán)”制作了wannacry勒索病毒，英國、俄羅斯、整個(gè)歐洲以及中國國內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件。MS17-010遠(yuǎn)程溢出漏洞是SMB協(xié)議漏洞之一，是通過TCP端口445和139來利用SMBv1和NBT中的遠(yuǎn)程代碼執(zhí)行漏洞。利用該漏洞，惡意代碼會(huì)掃描開放445文件共享端口的Windows機(jī)器，攻擊者可以不需要身份驗(yàn)證就能夠獲得系統(tǒng)的SYSTEM權(quán)限，通過專門制作的數(shù)據(jù)包來執(zhí)行任意代碼。案例背景MetasploitFramework（簡稱MSF）是一款開源的安全漏洞檢測框架，可以幫助安全和IT專業(yè)人士識(shí)別安全性問題，提供真正的安全風(fēng)險(xiǎn)情報(bào)。模塊是通過Metasploit框架所裝載、集成并對(duì)外提供的最核心的滲透測試功能實(shí)現(xiàn)代碼。分為滲透攻擊模塊（Exploits)、輔助模塊（Aux)、攻擊載荷模塊（Payloads)、空指令模塊（Nops)、編碼器模塊（Encoders)、后滲透攻擊模塊（Post)。這些模塊擁有非常清晰的結(jié)構(gòu)和一個(gè)預(yù)定義好的接口，并可以組合支持信息收集、滲透攻擊與后滲透攻擊拓展。

MSF常用工具：

msfconsole（MSF接口，用于進(jìn)入MSF框架）、msfvenom（可將攻擊載荷封裝成各種形式，如：exe、PHP、Java、apk、C、Python等）。前提準(zhǔn)備漏洞檢測及修復(fù)案例STEP3STEP1STEP2注：有關(guān)漏洞檢測與修復(fù)的詳細(xì)操作步驟，請(qǐng)參閱第三章/Windows遠(yuǎn)程代碼執(zhí)行漏洞檢測與修復(fù).mp4MS17-010漏洞檢測與修復(fù)利用MSF掃描模塊檢測漏洞是否存在配置組策略禁止對(duì)445端口訪問（臨時(shí)修復(fù)）漏洞修復(fù)結(jié)果檢測安裝漏洞補(bǔ)丁（永久修復(fù)）漏洞修復(fù)結(jié)果檢測STEP5STEP4漏洞檢測及修復(fù)案例本章介紹了安全漏洞的檢測及分析方法、安全漏洞的修復(fù)方法。常見安全漏洞檢測方法有