信息安全-常見的系統(tǒng)漏洞

系統(tǒng)漏洞林豆豆李一鳴蘇現(xiàn)實江啟智

系統(tǒng)漏洞是什么?What

isSystemvulnerabilities?01Thefistchapter系統(tǒng)漏洞是什么?www.islide.cc3

系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計上的缺陷或錯誤，被不法者利用，通過網(wǎng)絡(luò)植入木馬、病毒等方式來攻擊或控制整個電腦，竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。在不同種類的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。常見的系統(tǒng)漏洞及其危害Common

system

vulnerabilities

andits

hazards

02Thesecendchapter常見的系統(tǒng)漏洞及其危害www.islide.cc51、SQL注入漏洞2、跨站腳本漏洞3、弱口令漏洞4、框架釣魚漏洞

5、HTTP報頭追蹤漏洞6、文件上傳漏洞7、應(yīng)用程序測試腳本泄露

8、私有IP地址泄露漏洞9、未加密登錄請求1.SQL注入漏洞www.islide.cc6簡稱注入攻擊，被廣泛用于非法獲取網(wǎng)站控制權(quán)，是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞。設(shè)計程序時忽略了對輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫誤認(rèn)為是正常的SQL指令，從而使數(shù)據(jù)庫受到攻擊，可能導(dǎo)致數(shù)據(jù)被竊取更改刪除網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。SQL注入漏洞的危害：www.islide.cc7（1）數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存放的用戶的隱私信息的泄露。作為數(shù)據(jù)的存儲中心，數(shù)據(jù)庫里往往保存著各類的隱私信息，SQL注入攻擊能導(dǎo)致這些隱私信息透明于攻擊者。（2）網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進(jìn)行篡改。（3）數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務(wù)器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改。（4）服務(wù)器被遠(yuǎn)程控制，被安裝后門。經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。（5）破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。SQL注入漏洞的解決方法：www.islide.cc8解決SQL注入問題的關(guān)鍵是對所有可能來自用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的檢查、對數(shù)據(jù)庫配置使用最小權(quán)限原則。（1）所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。當(dāng)前幾乎所有的數(shù)據(jù)庫系統(tǒng)都提供了參數(shù)化SQL語句執(zhí)行接口，使用此接口可以非常有效的防止SQL注入攻擊。（2）對進(jìn)入數(shù)據(jù)庫的特殊字符（'"\<>&*等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換

（3）確認(rèn)每種數(shù)據(jù)的類型，比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字，數(shù)據(jù)庫中的存儲字段必須為int型。

（4）數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定，在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行SQL注入漏洞的解決方法：www.islide.cc9（5）網(wǎng)站每個數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過。（6）嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。

（7）避免網(wǎng)站顯示SQL錯誤信息，比如類型錯誤、字段不匹配等，防止攻擊者利用這些錯誤信息進(jìn)行一些判斷。

（8）在網(wǎng)站發(fā)布之前建議使用一些專業(yè)的SQL注入檢測工具進(jìn)行檢測，及時修補(bǔ)這些SQL注入漏洞。

2.跨站腳本漏洞www.islide.cc10

通常發(fā)生在客戶端，可被用于進(jìn)行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。

XSS攻擊使用到的技術(shù)主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對WEB服務(wù)器雖無直接危害，但是它借助網(wǎng)站進(jìn)行傳播，使網(wǎng)站的使用用戶受到攻擊，導(dǎo)致網(wǎng)站用戶帳號被竊取，從而對網(wǎng)站也產(chǎn)生了較嚴(yán)重的危害。XSS的危害：www.islide.cc11（1）釣魚欺騙：最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站，或者注入釣魚JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入，甚至發(fā)起基于DHTML更高級的釣魚攻擊方式。（2）網(wǎng)站掛馬：跨站時利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上，或者彈出惡意網(wǎng)站窗口等方式都可以進(jìn)行掛馬攻擊。（3）身份盜用：Cookie是用戶對于特定網(wǎng)站的身份驗證標(biāo)志，XSS可以盜取到用戶的Cookie，從而利用該Cookie盜取用戶對該網(wǎng)站的操作權(quán)限。如果一個網(wǎng)站管理員用戶Cookie被竊取，將會對網(wǎng)站引發(fā)巨大的危害。

XSS的危害：www.islide.cc12（4）盜取網(wǎng)站用戶信息：當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份使，攻擊者可以獲取到用戶對網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。（5）垃圾信息發(fā)送：比如在SNS社區(qū)中，利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群。（6）劫持用戶Web行為：一些高級的XSS攻擊甚至可以劫持用戶的Web行為，監(jiān)視用戶的瀏覽歷史，發(fā)送與接收的數(shù)據(jù)等等。（7）XSS蠕蟲：XSS蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實施DDoS攻擊等。XSS的解決方法：www.islide.cc13（1）與SQL注入防護(hù)的建議一樣，假定所有輸入都是可疑的，必須對所有輸入中的script、iframe等字樣進(jìn)行嚴(yán)格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口，也包括HTTP請求中的Cookie中的變量，HTTP請求頭部中的變量等。（2）不僅要驗證數(shù)據(jù)的類型，還要驗證其格式、長度、范圍和內(nèi)容。（3）不要僅僅在客戶端做數(shù)據(jù)的驗證與過濾，關(guān)鍵的過濾步驟在服務(wù)端進(jìn)行。XSS的解決方法：www.islide.cc14（4）對輸出的數(shù)據(jù)也要檢查，數(shù)據(jù)庫里的值有可能會在一個大網(wǎng)站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進(jìn)行安全檢查。（5）在發(fā)布應(yīng)用程序之前測試所有已知的威脅。3.弱口令漏洞www.islide.cc15

弱口令沒有嚴(yán)格和準(zhǔn)確的定義，通常認(rèn)為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設(shè)置密碼通常遵循原則：www.islide.cc16（1）不使用空口令或系統(tǒng)缺省的口令，這些口令眾所周之，為典型的弱口令。（2）口令長度不小于8個字符。（3）口令不應(yīng)該為連續(xù)的某個字符（例如：AAAAAAAA）或重復(fù)某些字符的組合（例如：tzf.tzf.）。（4）口令應(yīng)該為以下四類字符的組合，大寫字母(A-Z)、小寫字母(a-z)、數(shù)字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只包含一個，那么該字符不應(yīng)為首字符或尾字符。設(shè)置密碼通常遵循原則：www.islide.cc17（5）口令中不應(yīng)包含本人、父母、子女和配偶的姓名和出生日期、紀(jì)念日期、登錄名、E-mail地址等等與本人有關(guān)的信息，以及字典中的單詞。（6）口令不應(yīng)該為用數(shù)字或符號代替某些字母的單詞。（7）口令應(yīng)該易記且可以快速輸入，防止他人從你身后很容易看到你的輸入。（8）至少90天內(nèi)更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。4.框架釣魚漏洞www.islide.cc18框架注入攻擊是針對Internet

Explorer

5、Internet

Explorer

6、與

Internet

Explorer

7攻擊的一種。這種攻擊導(dǎo)致Internet

Explorer不檢查結(jié)果框架的目的網(wǎng)站，因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發(fā)生在代碼透過多框架注入，肇因于腳本并不確認(rèn)來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認(rèn)不受信任輸入的各廠商瀏覽器和腳本。

常見的釣魚方式www.islide.cc19(1)、黑客通過釣魚網(wǎng)站設(shè)下陷阱，大量收集用戶個人隱私信息，販賣個人信息或敲詐用戶；

(2)、黑客通過釣魚網(wǎng)站收集、記錄用戶網(wǎng)上銀行賬號、密碼，盜竊用戶的網(wǎng)銀資金；

(3)、黑客假冒網(wǎng)上購物、在線支付網(wǎng)站、欺騙用戶直接將錢打入黑客賬戶；

常見的釣魚方式www.islide.cc20(4)、通過假冒產(chǎn)品和廣告宣傳獲取用戶信任，騙取用戶錢財；

(5)、惡意團(tuán)購網(wǎng)站或購物網(wǎng)站，假借“限時搶購”、“秒殺”、“團(tuán)購”等，讓用戶不假思索地提供個人信息和銀行賬號，這些黑心網(wǎng)站主可直接獲取用戶的個人資料和網(wǎng)銀賬號密碼信息，進(jìn)而獲利。防范方式www.islide.cc211.查驗“可信網(wǎng)站”網(wǎng)民在網(wǎng)絡(luò)交易時應(yīng)養(yǎng)成查看網(wǎng)站身份信息的使用習(xí)慣，企業(yè)也要安裝第三方身份誠信標(biāo)識，加強(qiáng)對消費者的保護(hù)。2.核對網(wǎng)站域名假冒網(wǎng)站一般和真實網(wǎng)站有細(xì)微區(qū)別，有疑問時要仔細(xì)辨別其不同之處。比較網(wǎng)站內(nèi)容假冒網(wǎng)站上的字體樣式不一致，并且模糊不清。仿冒網(wǎng)站上沒有鏈接，用戶可點擊欄目或圖片中的各個鏈接看是否能打開。4.查看安全證書大型的電子商務(wù)網(wǎng)站都應(yīng)用了可信證書類產(chǎn)品，這類的網(wǎng)站網(wǎng)址都是“https”打頭的，如果發(fā)現(xiàn)不是“https”開頭，應(yīng)謹(jǐn)慎對待。

案例分析CaseAnalyse03Thethirdchapter案例分析www.islide.cc23

2016年4月，南京新街口派出所接到市民楊女士報警稱，自己購買了一張面額為1000元的中石化加油充值卡，為在網(wǎng)上激活，通過網(wǎng)絡(luò)搜索，找到了一個“中石化加油卡充值”網(wǎng)站。根據(jù)網(wǎng)站提示，楊女士輸入了自己的加油卡號、聯(lián)系方式、充值卡賬號和密碼。然而，最后網(wǎng)站卻提示充值未成功。當(dāng)時，楊女士并未在意，以為是網(wǎng)絡(luò)問題，便打算改天再試。報警當(dāng)天，楊女士正好去加油站，便索性去柜臺充值，然而工作人員卻告知充值卡已經(jīng)使用過。楊女士覺得事有蹊蹺，便立即報警。事件簡要概述：www.islide.cc24警方調(diào)查發(fā)現(xiàn)，楊女士登錄的網(wǎng)站實為釣魚網(wǎng)站，頁面與正規(guī)的中石化加油卡充值頁面非常相似，但仔細(xì)看會發(fā)現(xiàn)，其網(wǎng)址并非正確的官網(wǎng)域名。在介入案件調(diào)查后，警方和360公司深度合作，對釣魚網(wǎng)站進(jìn)行了追蹤溯源，通過全省案件庫進(jìn)行比對，依靠獵網(wǎng)平臺的大數(shù)據(jù)線索串并技術(shù)，南京網(wǎng)安成功鎖定了一名湖南籍犯罪嫌疑人劉某和其他人員的虛擬身份及活動地，并立即前往湖南常德市開展甄別工作。5月12日，在當(dāng)?shù)鼐脚浜舷拢暇┚W(wǎng)安于常德一處賓館內(nèi)，抓獲了劉某等3人。被抓當(dāng)時，一名犯罪嫌疑人正在操作釣魚網(wǎng)站騙取受害人的充值卡賬號和密碼。根據(jù)3人的口供，警方又隨即在劉氏兄弟家中，抓獲了劉某的弟弟?？酷烎~網(wǎng)站四人半年騙取百萬事件簡要概述：www.islide.cc25

南京網(wǎng)安介紹，經(jīng)審查，劉氏兄弟去年11月在網(wǎng)絡(luò)聊天時學(xué)會了使用釣魚網(wǎng)站行騙，便花錢找人做了冒充中石化加油充值的釣魚網(wǎng)站。他們先在網(wǎng)上購買很多空的加油卡，從“釣魚網(wǎng)站”獲取充值卡賬號和密碼后，便立即將錢充入自己掌握的加油卡中。當(dāng)每張卡內(nèi)積累到5000元左右時，他們便通過網(wǎng)絡(luò)將加油卡出售。通過這樣的詐騙手法，截至案發(fā)，劉氏兄弟已經(jīng)銷售加油卡獲利50余萬元。而在兩人的暫住地，警方查獲了400多張加油卡，里面的金額高達(dá)90多萬元。警方表示，目前，該詐騙團(tuán)伙4名嫌疑人均已