信息安全-常見(jiàn)的系統(tǒng)漏洞

系統(tǒng)漏洞林豆豆李一鳴蘇現(xiàn)實(shí)江啟智

系統(tǒng)漏洞是什么?What

isSystemvulnerabilities?01Thefistchapter系統(tǒng)漏洞是什么?www.islide.cc3

系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，被不法者利用，通過(guò)網(wǎng)絡(luò)植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。在不同種類(lèi)的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同的安全漏洞問(wèn)題。常見(jiàn)的系統(tǒng)漏洞及其危害Common

system

vulnerabilities

andits

hazards

02Thesecendchapter常見(jiàn)的系統(tǒng)漏洞及其危害www.islide.cc51、SQL注入漏洞2、跨站腳本漏洞3、弱口令漏洞4、框架釣魚(yú)漏洞

5、HTTP報(bào)頭追蹤漏洞6、文件上傳漏洞7、應(yīng)用程序測(cè)試腳本泄露

8、私有IP地址泄露漏洞9、未加密登錄請(qǐng)求1.SQL注入漏洞www.islide.cc6簡(jiǎn)稱(chēng)注入攻擊，被廣泛用于非法獲取網(wǎng)站控制權(quán)，是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫(kù)層上的安全漏洞。設(shè)計(jì)程序時(shí)忽略了對(duì)輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫(kù)誤認(rèn)為是正常的SQL指令，從而使數(shù)據(jù)庫(kù)受到攻擊，可能導(dǎo)致數(shù)據(jù)被竊取更改刪除網(wǎng)站被嵌入惡意代碼、被植入后門(mén)程序等危害。SQL注入漏洞的危害：www.islide.cc7（1）數(shù)據(jù)庫(kù)信息泄漏：數(shù)據(jù)庫(kù)中存放的用戶的隱私信息的泄露。作為數(shù)據(jù)的存儲(chǔ)中心，數(shù)據(jù)庫(kù)里往往保存著各類(lèi)的隱私信息，SQL注入攻擊能導(dǎo)致這些隱私信息透明于攻擊者。（2）網(wǎng)頁(yè)篡改：通過(guò)操作數(shù)據(jù)庫(kù)對(duì)特定網(wǎng)頁(yè)進(jìn)行篡改。（3）數(shù)據(jù)庫(kù)被惡意操作：數(shù)據(jù)庫(kù)服務(wù)器被攻擊，數(shù)據(jù)庫(kù)的系統(tǒng)管理員帳戶被篡改。（4）服務(wù)器被遠(yuǎn)程控制，被安裝后門(mén)。經(jīng)由數(shù)據(jù)庫(kù)服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。（5）破壞硬盤(pán)數(shù)據(jù)，癱瘓全系統(tǒng)。SQL注入漏洞的解決方法：www.islide.cc8解決SQL注入問(wèn)題的關(guān)鍵是對(duì)所有可能來(lái)自用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的檢查、對(duì)數(shù)據(jù)庫(kù)配置使用最小權(quán)限原則。（1）所有的查詢語(yǔ)句都使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢接口，參數(shù)化的語(yǔ)句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語(yǔ)句中。當(dāng)前幾乎所有的數(shù)據(jù)庫(kù)系統(tǒng)都提供了參數(shù)化SQL語(yǔ)句執(zhí)行接口，使用此接口可以非常有效的防止SQL注入攻擊。（2）對(duì)進(jìn)入數(shù)據(jù)庫(kù)的特殊字符（'"\<>&*等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換

（3）確認(rèn)每種數(shù)據(jù)的類(lèi)型，比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字，數(shù)據(jù)庫(kù)中的存儲(chǔ)字段必須為int型。

（4）數(shù)據(jù)長(zhǎng)度應(yīng)該嚴(yán)格規(guī)定，在一定程度上防止比較長(zhǎng)的SQL注入語(yǔ)句無(wú)法正確執(zhí)行SQL注入漏洞的解決方法：www.islide.cc9（5）網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導(dǎo)致一些過(guò)濾模型被繞過(guò)。（6）嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫(kù)的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對(duì)數(shù)據(jù)庫(kù)的危害。

（7）避免網(wǎng)站顯示SQL錯(cuò)誤信息，比如類(lèi)型錯(cuò)誤、字段不匹配等，防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷。

（8）在網(wǎng)站發(fā)布之前建議使用一些專(zhuān)業(yè)的SQL注入檢測(cè)工具進(jìn)行檢測(cè)，及時(shí)修補(bǔ)這些SQL注入漏洞。

2.跨站腳本漏洞www.islide.cc10

通常發(fā)生在客戶端，可被用于進(jìn)行竊取隱私、釣魚(yú)欺騙、竊取密碼、傳播惡意代碼等攻擊。

XSS攻擊使用到的技術(shù)主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對(duì)WEB服務(wù)器雖無(wú)直接危害，但是它借助網(wǎng)站進(jìn)行傳播，使網(wǎng)站的使用用戶受到攻擊，導(dǎo)致網(wǎng)站用戶帳號(hào)被竊取，從而對(duì)網(wǎng)站也產(chǎn)生了較嚴(yán)重的危害。XSS的危害：www.islide.cc11（1）釣魚(yú)欺騙：最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚(yú)網(wǎng)站，或者注入釣魚(yú)JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入，甚至發(fā)起基于DHTML更高級(jí)的釣魚(yú)攻擊方式。（2）網(wǎng)站掛馬：跨站時(shí)利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上，或者彈出惡意網(wǎng)站窗口等方式都可以進(jìn)行掛馬攻擊。（3）身份盜用：Cookie是用戶對(duì)于特定網(wǎng)站的身份驗(yàn)證標(biāo)志，XSS可以盜取到用戶的Cookie，從而利用該Cookie盜取用戶對(duì)該網(wǎng)站的操作權(quán)限。如果一個(gè)網(wǎng)站管理員用戶Cookie被竊取，將會(huì)對(duì)網(wǎng)站引發(fā)巨大的危害。

XSS的危害：www.islide.cc12（4）盜取網(wǎng)站用戶信息：當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份使，攻擊者可以獲取到用戶對(duì)網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。（5）垃圾信息發(fā)送：比如在SNS社區(qū)中，利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群。（6）劫持用戶Web行為：一些高級(jí)的XSS攻擊甚至可以劫持用戶的Web行為，監(jiān)視用戶的瀏覽歷史，發(fā)送與接收的數(shù)據(jù)等等。（7）XSS蠕蟲(chóng)：XSS蠕蟲(chóng)可以用來(lái)打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實(shí)施DDoS攻擊等。XSS的解決方法：www.islide.cc13（1）與SQL注入防護(hù)的建議一樣，假定所有輸入都是可疑的，必須對(duì)所有輸入中的script、iframe等字樣進(jìn)行嚴(yán)格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口，也包括HTTP請(qǐng)求中的Cookie中的變量，HTTP請(qǐng)求頭部中的變量等。（2）不僅要驗(yàn)證數(shù)據(jù)的類(lèi)型，還要驗(yàn)證其格式、長(zhǎng)度、范圍和內(nèi)容。（3）不要僅僅在客戶端做數(shù)據(jù)的驗(yàn)證與過(guò)濾，關(guān)鍵的過(guò)濾步驟在服務(wù)端進(jìn)行。XSS的解決方法：www.islide.cc14（4）對(duì)輸出的數(shù)據(jù)也要檢查，數(shù)據(jù)庫(kù)里的值有可能會(huì)在一個(gè)大網(wǎng)站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點(diǎn)時(shí)也要進(jìn)行安全檢查。（5）在發(fā)布應(yīng)用程序之前測(cè)試所有已知的威脅。3.弱口令漏洞www.islide.cc15

弱口令沒(méi)有嚴(yán)格和準(zhǔn)確的定義，通常認(rèn)為容易被別人（他們有可能對(duì)你很了解）猜測(cè)到或被破解工具破解的口令均為弱口令。設(shè)置密碼通常遵循原則：www.islide.cc16（1）不使用空口令或系統(tǒng)缺省的口令，這些口令眾所周之，為典型的弱口令。（2）口令長(zhǎng)度不小于8個(gè)字符。（3）口令不應(yīng)該為連續(xù)的某個(gè)字符（例如：AAAAAAAA）或重復(fù)某些字符的組合（例如：tzf.tzf.）。（4）口令應(yīng)該為以下四類(lèi)字符的組合，大寫(xiě)字母(A-Z)、小寫(xiě)字母(a-z)、數(shù)字(0-9)和特殊字符。每類(lèi)字符至少包含一個(gè)。如果某類(lèi)字符只包含一個(gè)，那么該字符不應(yīng)為首字符或尾字符。設(shè)置密碼通常遵循原則：www.islide.cc17（5）口令中不應(yīng)包含本人、父母、子女和配偶的姓名和出生日期、紀(jì)念日期、登錄名、E-mail地址等等與本人有關(guān)的信息，以及字典中的單詞。（6）口令不應(yīng)該為用數(shù)字或符號(hào)代替某些字母的單詞。（7）口令應(yīng)該易記且可以快速輸入，防止他人從你身后很容易看到你的輸入。（8）至少90天內(nèi)更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。4.框架釣魚(yú)漏洞www.islide.cc18框架注入攻擊是針對(duì)Internet

Explorer

5、Internet

Explorer

6、與

Internet

Explorer

7攻擊的一種。這種攻擊導(dǎo)致Internet

Explorer不檢查結(jié)果框架的目的網(wǎng)站，因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發(fā)生在代碼透過(guò)多框架注入，肇因于腳本并不確認(rèn)來(lái)自多框架的輸入。這種其他形式的框架注入會(huì)影響所有的不確認(rèn)不受信任輸入的各廠商瀏覽器和腳本。

常見(jiàn)的釣魚(yú)方式www.islide.cc19(1)、黑客通過(guò)釣魚(yú)網(wǎng)站設(shè)下陷阱，大量收集用戶個(gè)人隱私信息，販賣(mài)個(gè)人信息或敲詐用戶；

(2)、黑客通過(guò)釣魚(yú)網(wǎng)站收集、記錄用戶網(wǎng)上銀行賬號(hào)、密碼，盜竊用戶的網(wǎng)銀資金；

(3)、黑客假冒網(wǎng)上購(gòu)物、在線支付網(wǎng)站、欺騙用戶直接將錢(qián)打入黑客賬戶；

常見(jiàn)的釣魚(yú)方式www.islide.cc20(4)、通過(guò)假冒產(chǎn)品和廣告宣傳獲取用戶信任，騙取用戶錢(qián)財(cái)；

(5)、惡意團(tuán)購(gòu)網(wǎng)站或購(gòu)物網(wǎng)站，假借“限時(shí)搶購(gòu)”、“秒殺”、“團(tuán)購(gòu)”等，讓用戶不假思索地提供個(gè)人信息和銀行賬號(hào)，這些黑心網(wǎng)站主可直接獲取用戶的個(gè)人資料和網(wǎng)銀賬號(hào)密碼信息，進(jìn)而獲利。防范方式www.islide.cc211.查驗(yàn)“可信網(wǎng)站”網(wǎng)民在網(wǎng)絡(luò)交易時(shí)應(yīng)養(yǎng)成查看網(wǎng)站身份信息的使用習(xí)慣，企業(yè)也要安裝第三方身份誠(chéng)信標(biāo)識(shí)，加強(qiáng)對(duì)消費(fèi)者的保護(hù)。2.核對(duì)網(wǎng)站域名假冒網(wǎng)站一般和真實(shí)網(wǎng)站有細(xì)微區(qū)別，有疑問(wèn)時(shí)要仔細(xì)辨別其不同之處。比較網(wǎng)站內(nèi)容假冒網(wǎng)站上的字體樣式不一致，并且模糊不清。仿冒網(wǎng)站上沒(méi)有鏈接，用戶可點(diǎn)擊欄目或圖片中的各個(gè)鏈接看是否能打開(kāi)。4.查看安全證書(shū)大型的電子商務(wù)網(wǎng)站都應(yīng)用了可信證書(shū)類(lèi)產(chǎn)品，這類(lèi)的網(wǎng)站網(wǎng)址都是“https”打頭的，如果發(fā)現(xiàn)不是“https”開(kāi)頭，應(yīng)謹(jǐn)慎對(duì)待。

案例分析CaseAnalyse03Thethirdchapter案例分析www.islide.cc23

2016年4月，南京新街口派出所接到市民楊女士報(bào)警稱(chēng)，自己購(gòu)買(mǎi)了一張面額為1000元的中石化加油充值卡，為在網(wǎng)上激活，通過(guò)網(wǎng)絡(luò)搜索，找到了一個(gè)“中石化加油卡充值”網(wǎng)站。根據(jù)網(wǎng)站提示，楊女士輸入了自己的加油卡號(hào)、聯(lián)系方式、充值卡賬號(hào)和密碼。然而，最后網(wǎng)站卻提示充值未成功。當(dāng)時(shí)，楊女士并未在意，以為是網(wǎng)絡(luò)問(wèn)題，便打算改天再試。報(bào)警當(dāng)天，楊女士正好去加油站，便索性去柜臺(tái)充值，然而工作人員卻告知充值卡已經(jīng)使用過(guò)。楊女士覺(jué)得事有蹊蹺，便立即報(bào)警。事件簡(jiǎn)要概述：www.islide.cc24警方調(diào)查發(fā)現(xiàn)，楊女士登錄的網(wǎng)站實(shí)為釣魚(yú)網(wǎng)站，頁(yè)面與正規(guī)的中石化加油卡充值頁(yè)面非常相似，但仔細(xì)看會(huì)發(fā)現(xiàn)，其網(wǎng)址并非正確的官網(wǎng)域名。在介入案件調(diào)查后，警方和360公司深度合作，對(duì)釣魚(yú)網(wǎng)站進(jìn)行了追蹤溯源，通過(guò)全省案件庫(kù)進(jìn)行比對(duì)，依靠獵網(wǎng)平臺(tái)的大數(shù)據(jù)線索串并技術(shù)，南京網(wǎng)安成功鎖定了一名湖南籍犯罪嫌疑人劉某和其他人員的虛擬身份及活動(dòng)地，并立即前往湖南常德市開(kāi)展甄別工作。5月12日，在當(dāng)?shù)鼐脚浜舷拢暇┚W(wǎng)安于常德一處賓館內(nèi)，抓獲了劉某等3人。被抓當(dāng)時(shí)，一名犯罪嫌疑人正在操作釣魚(yú)網(wǎng)站騙取受害人的充值卡賬號(hào)和密碼。根據(jù)3人的口供，警方又隨即在劉氏兄弟家中，抓獲了劉某的弟弟?？酷烎~(yú)網(wǎng)站四人半年騙取百萬(wàn)事件簡(jiǎn)要概述：www.islide.cc25

南京網(wǎng)安介紹，經(jīng)審查，劉氏兄弟去年11月在網(wǎng)絡(luò)聊天時(shí)學(xué)會(huì)了使用釣魚(yú)網(wǎng)站行騙，便花錢(qián)找人做了冒充中石化加油充值的釣魚(yú)網(wǎng)站。他們先在網(wǎng)上購(gòu)買(mǎi)很多空的加油卡，從“釣魚(yú)網(wǎng)站”獲取充值卡賬號(hào)和密碼后，便立即將錢(qián)充入自己掌握的加油卡中。當(dāng)每張卡內(nèi)積累到5000元左右時(shí)，他們便通過(guò)網(wǎng)絡(luò)將加油卡出售。通過(guò)這樣的詐騙手法，截至案發(fā)，劉氏兄弟已經(jīng)銷(xiāo)售加油卡獲利50余萬(wàn)元。而在兩人的暫住地，警方查獲了400多張加油卡，里面的金額高達(dá)90多萬(wàn)元。警方表示，目前，該詐騙團(tuán)伙4名嫌疑人均已