《軟件安全》課件第2章-軟件漏洞概述

軟件安全1234目錄CONTENTS軟件安全概述軟件漏洞概述成功項目展示明年工作計劃Part章節(jié)02軟件漏洞概述經(jīng)典安全事件漏洞的定義漏洞的危害2.1漏洞的概念2003年8月11日爆發(fā)的W32.Blastcr.Worm蠕蟲病毒很好地例證了軟件中的安全缺陷是如何讓我們變得易受攻擊的。Blaster可以在毫無用戶參與的情況下感染任何一臺連接到互聯(lián)網(wǎng)上未打補丁的計算機系統(tǒng)。微軟提供的數(shù)據(jù)顯示，至少有800萬個Windows系統(tǒng)被該蠕蟲感染。Blaster的主要破壞力在于使用戶無法正常使用自己的機器，并且能夠滲透整個局域網(wǎng)，感染的用戶必須設法刪除該蠕蟲并且升級系統(tǒng)才能正常工作。原來，LSD研究小組發(fā)現(xiàn)了RPC(可用于通過TCP/IP交換信息）中存在一個緩沖區(qū)溢出漏洞，成因在于對“畸形”信息的錯誤處理。后來一個名為Xfocus的安全研究小組發(fā)布了該漏洞的利用代碼。根據(jù)評估，Blaster蠕蟲所造成的經(jīng)濟損失至少達5.25億美元，可實際上它很容易造成更大的破壞——例如，它刪除被感染計算機上的文件。2.1漏洞的概念2.1.1經(jīng)典安全事件漏洞，通常也稱為脆弱性（vulnerability），RFC2828將漏洞定義為“系統(tǒng)設計、實現(xiàn)或操作和管理中存在的缺陷或弱點，能被利用而違背系統(tǒng)的安全策略”?？梢?，漏洞是計算機系統(tǒng)在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足。漏洞一旦被發(fā)現(xiàn)，攻擊者就可利用這個漏洞獲得計算機系統(tǒng)的額外權限，在未授權的情況下訪問或破壞系統(tǒng)，從而危害計算機系統(tǒng)安全。2.1漏洞的概念2.1.2漏洞的定義非法獲取訪問權限：訪問權限，是訪問控制的訪問規(guī)則，用來區(qū)別不同訪問者對不同資源的訪問權限，不同級別的用戶則擁有不同的訪問權限。權限提升：當前較低的賬戶權限提升到史高級別的用戶權限。拒絕服務：使計算機軟件或系統(tǒng)無法正常工作、無法提供正常的服務惡意軟件植入：分為主動植入與被動植入。數(shù)據(jù)丟失或泄露：是指數(shù)據(jù)被破壞，刪除或者被非法讀取。造成巨大的損失2.1漏洞的概念2.1.3漏洞的危害損失的現(xiàn)狀：RSA發(fā)現(xiàn)了廣泛使用開放式論壇，特別是社交媒體，被網(wǎng)絡犯罪分子利用來進行交流，并成為網(wǎng)絡犯罪的一般全球庇護所。在全球范圍內(nèi)，梳理是最受歡迎的詐騙活動，占RSA觀察到的53％的職位。除了單一的企業(yè)觀點之外，追蹤全球性，跨行業(yè)，跨渠道和跨設備的網(wǎng)絡犯罪發(fā)展對于識別和面對新的威脅和攻擊的組織來說是必不可少的。圖1各種類型的經(jīng)濟損失技術因素經(jīng)濟因素應用環(huán)境因素漏洞產(chǎn)生的條件2.2漏洞的產(chǎn)生軟件規(guī)模復雜度增大

：軟件系統(tǒng)規(guī)模的迅速膨脹及內(nèi)部結(jié)構(gòu)的日益復雜，直接導致軟件系統(tǒng)復雜性的提高，而目前學術界普遍認為，軟件系統(tǒng)代碼的復雜性是導致軟件系統(tǒng)質(zhì)量難于控制，安全性降低，漏洞產(chǎn)生的重要原因。開源軟件的問題：（1）若公用模塊中存在一個安全漏洞,那么隨著該公用模塊的廣泛傳播,漏洞的危害也會傳播且有可能不斷被放大；（2）在開源社區(qū)中,對源代碼中安全補丁的修復及管理上不能準確及時地進行,甚至出現(xiàn)沒有人修復的情況，或者開發(fā)商沒有及時關注補丁信息；（3）某些惡意攻擊者通過分析公用模塊的源代碼更加容易發(fā)現(xiàn)或利用公用模塊中的漏洞，甚至直接開發(fā)帶有惡意代碼甚至后門的源代碼公用模塊2.2漏洞的產(chǎn)生2.2.1技術因素軟件的安全性不是顯性價值：廠商要實現(xiàn)安全性就要額外付出巨大的代價，但廠商一般不愿花費這筆錢“檸檬市場”效應的出現(xiàn)：軟件系統(tǒng)的安全質(zhì)量形成了一個典型的非對稱信息案例，即產(chǎn)品的賣方對產(chǎn)品質(zhì)量比買方有更多信息。好的商品遭受淘汰，而劣等品會逐漸占領市場并取代好的商品，導致市場中都是劣等品。在這種市場之下，廠商更加重視軟件系統(tǒng)的功能、性能、易用性，而不愿意在安全質(zhì)量上做大的投入2.2漏洞的產(chǎn)生2.2.2經(jīng)濟因素軟件系統(tǒng)運行環(huán)境發(fā)生改變：從傳統(tǒng)的封閉、靜態(tài)和可控變?yōu)殚_放、動態(tài)和難控“網(wǎng)構(gòu)軟件”的出現(xiàn)：網(wǎng)構(gòu)軟件是在面向?qū)ο?、軟件?gòu)件等技術支持下的軟件實體以主體化的軟件服務形式存在于Internet的各個節(jié)點之上，各個軟件實體相互間通過協(xié)同機制進行跨網(wǎng)絡的互聯(lián)、互通、協(xié)作和聯(lián)盟，從而形成一種與WWW相類似的軟件Web(Softwareweb)。它一方面導致了面向Web應用的跨站腳本、SQL注入等漏洞越來越多，另一方面也給安全防護帶來了更大的難度。更加復雜的異構(gòu)網(wǎng)絡會產(chǎn)生更多的漏洞類型和數(shù)量2.2漏洞的產(chǎn)生2.2.3應用環(huán)境因素安全缺陷的定義：安全缺陷是指軟件、硬件或協(xié)議在開發(fā)維護和運行使用階段產(chǎn)生的安全錯誤的實例，軟件系統(tǒng)在不同的開發(fā)階段會產(chǎn)生不同的安全缺陷。安全缺陷不一定是指代碼編寫上的錯誤,也可以是由于用戶的使用錯誤或配置錯誤。安全缺陷的分類：（1）通用缺陷枚舉分類法CWE；（2）FortifySCA漏洞與安全缺陷的對應關系：（1）鏈條型；（2）組合型安全缺陷轉(zhuǎn)化為漏洞的條件：（1）產(chǎn)生缺陷代碼的上下文環(huán)境；（2）軟件系統(tǒng)本身的安全機制；（3）安全缺陷的利用技術和手段2.2漏洞的產(chǎn)生2.2.4漏洞產(chǎn)生的條件漏洞分類依據(jù)及代表性漏洞分類法典型的漏洞庫及其分類2.3漏洞的分類漏洞分類依據(jù)：（1）所屬相關屬性；（2）攻擊相關屬性；（3）因果相關屬性；（4）時間相關屬性；（5）其他屬性典型漏洞分類法：保護分析(PA)分類法：保護分析(PA)研究的目標是將操作系統(tǒng)保護問題分割為較容易管理的小模塊,以降低對研究人員的要求。分為三類：（1）不適當?shù)谋Ｗo域的初始化和實現(xiàn)；（2）不適當?shù)暮戏ㄐ则炞C；（3）不適當?shù)牟僮鲾?shù)選擇或操作選擇安全操作系統(tǒng)(RISOS)分類法：分為七類：（1）不完全的參數(shù)合法性驗證；（2）不一致的參數(shù)合法性驗證；（3）隱含的權限/機密數(shù)據(jù)共享；（4）非同步的合法性驗證/不適當?shù)捻樞蚧?；?）不適當?shù)纳矸荼孀R/認證/授權；（6）可違反的限制；（7）可利用的邏輯錯誤2.3漏洞的分類2.3.1漏洞分類依據(jù)典型漏洞分類法：Aslam-Krusl操作系統(tǒng)漏洞分類法：普渡大學COAST實驗室的Aslam提出了一種Unix操作系統(tǒng)的漏洞分類法，他將計算機漏洞主要分為操作故障、環(huán)境故障和編碼故障三大類。隨后，該實驗室的Krsul又在此基礎上對Aslam的分類法進行了擴展和修改，將漏洞分為操作故障、環(huán)境故障、編碼故障和其他故障。圖2Krsul完善后的Aslam的漏洞分類法典型漏洞分類法：Bishop的6軸分析法模型：Bishop提出了一種六軸分類法。該分類法是一個多維屬性集成的計算機系統(tǒng)漏洞分類法,主要為廠商改進軟件設計服務。Bishop的漏洞分類系統(tǒng)充分地體現(xiàn)了互斥性和非二義性等分類理論,但可用性受到了學者們的質(zhì)疑。圖3Bishop的六軸分類法典型漏洞分類法：Neumann分類法圖4Neumann的分類典型漏洞分類法：Knight的廣義漏洞分類法：Knight等提出了一種四類型分類法,即根據(jù)漏洞對象和影響速度的不同,將漏洞分為社會工程、策略疏忽、邏輯錯誤和缺陷四種類型,并設計了缺點、嚴重性認證、策略和后果五種屬性來描述上述四種類型漏洞的其他性質(zhì)。圖5Knight的廣義漏洞分類法典型漏洞分類法：軟件量化漏洞分類法：為了達到量化評估計算機系統(tǒng)安全的目的，哈工大的汪立東提出了一種多屬性量化的軟件漏洞分類法，該分類法描述了漏洞對機密性、完整性和可用性等軟件系統(tǒng)安全性的影響，以及攻擊復雜性和時間影響力等屬性。汪立東認為漏洞對安全性的影響分析應該基于經(jīng)驗知識和特權提升。所以他將Internet上對系統(tǒng)所有可能的訪問者分成以下幾類:無任何特權的Internet遠程訪問者、匿名或無shell用戶、本地普通用戶、擁有某類系統(tǒng)特權的用戶、系統(tǒng)管理員或root用戶,然后給出了漏洞所引起的特權提升對各維安全屬性的可能影響的分級。國外漏洞庫：（1）NVD；（2）BugTraq；（3）Secunia；（4）ISSX-Force國內(nèi)漏洞庫：（1）中國國家信息安全漏洞庫（CNNVD）；（2）國家信息安全漏洞共享平臺（CNVD）2.3漏洞的分類2.3.2典型的漏洞庫及其分類本地攻擊模式遠程主動攻擊模式遠程被動攻擊模式2.4漏洞利用方式本地攻擊模式的攻擊者是本地合法用戶或已經(jīng)通過其他攻擊方法獲得了本地權限的非法用戶，它要求攻擊者必須在本機擁有訪問權限，才能發(fā)起攻擊。能夠利用來實施本地攻擊的典型漏洞是本地權限提升漏洞。本地權限提升漏洞通常是一種“輔助”性質(zhì)的漏洞，內(nèi)核提權漏洞是權限提升漏洞中威脅較大的一類漏洞。2.4漏洞利用方式2.4.1本地攻擊模式圖6本地攻擊模型若目標主機上的某個網(wǎng)絡程序存在漏洞，則攻擊者可能通過利用該漏洞獲得得目標主機的額外訪問權或控制權。比如MS08-067漏洞就是一個臭名昭著的符合遠程主動攻擊模式的漏洞。如果用戶在受影響的系統(tǒng)上受到特制的RPC請求，則該漏洞可能允許遠程執(zhí)行代碼，導致用戶系統(tǒng)被完全入侵，且能夠以SYSTEM權限執(zhí)行任意指令并獲取數(shù)據(jù)，從而喪失對系統(tǒng)的控制權。2.4漏洞利用方式2.4.2遠程主動攻擊模式圖7遠程主動攻擊模型當一個用戶訪問網(wǎng)絡上的一臺惡意主機（如Web服務器），他就可能遭到目標主機發(fā)動的針對自己的惡意攻擊。如圖所示，用戶使用存在漏洞的瀏覽器去瀏覽被攻擊者掛馬的網(wǎng)站，則可能導致本地主機瀏覽器或相關組件的漏洞被觸發(fā)，從而使得本地主機被攻擊者控制。網(wǎng)頁掛馬是結(jié)合瀏覽器或瀏覽組件的相關漏洞來觸發(fā)第三方惡意程序下載執(zhí)行的，也是目前危害最大的一種遠程被動攻擊模式。2.4漏洞利用方式2.4.3遠程主動攻擊模式圖8遠程攻擊模型PPT模板下載：/moban/行業(yè)PPT模板：/hangye/節(jié)日PPT模板：/jieri/PPT素材下載：/sucai/PPT背景圖片：/beijing/PPT圖表下載：/tubiao/優(yōu)秀PPT下載：/xiazai/