精华内容
下载资源
问答
  • 安全漏洞
    千次阅读
    2022-03-11 20:51:40


    前言

    平常项目上线的时候大家都进行过漏洞扫描,漏洞扫描主要针对哪些漏洞呢?这些漏洞都是怎么处理的呢?本文就介绍几个常见的安全漏洞。

    一、权限控制

    垂直权限

    垂直权限漏洞又叫功能权限漏洞,也就是我们上面说的URL访问控制问题。正常情况下我们使用的系统都是用户 -> 角色 ->菜单这种模型的,用户能操作哪些功能主要看用户所属角色是否有该功能的权限,假设系统的对于权限的控制仅仅是基于前端页面的隐藏,那对于大部分开发人员来说这是没有意义的,如果知道了对应菜单的URL就可以直接打开对应的菜单了。

    以前就见过几个系统表单的提交和查看是通用一个页面,而且使用的是display:nonereadonly:true来控制的,用户可以直接F12打开按钮继续提交修改,当然按钮的操作功能也是属于垂直权限的。

    那么垂直权限问题怎么去预防解决呢?这可以在框架中使用一些成熟的RBAC权限框架,例如Shiro和Security等框架,在用户访问URL时需要去服务器验证用户是否真的具有该菜单或者功能的权限,常见的例如@Permission()注解等判定用户是否有接口操作权限,不要吝啬你的那行注解,权限控制不好出了问题就是大问题了。

    水平权限

    水平权限漏洞又叫数据权限漏洞,由于数据没有隔离,用户看到或操作了了不该看到的数据。假设在某个项目中用户能查看所在部门下面所有人的信息,但是只能修改自己的信息,但是对于程序员来说这些都不是问题,大不了调用接口的时候用户的ID传其他人的ID不就修改了别人的信息了吗。针对数据权限因为其业务性太强,没有专门的框架去支持数据权限,这需要在设计写代码的时候手动的去做校验的,修改或查看的时候在Where条件中加上用户ID或部门ID的判断,这就是为什么我们在创建数据库表的时候后面永远跟着创建人修改人和部门等字段信息,当然要根据业务实际情况判断是否需要增加判断条件。

    二、SQL注入

    SQL注入产生的主要原因就是后台SQL使用了字符串拼接,并且没有对用户输入的内容做限制。一般情况下用户是不知道系统的数据库类型和SQL语句的写法的,需要进行SQL盲注去试探出具体的信息。假设用户输入了这两种查询条件:实际ID’ and 1=1 # 结果显示查询出来了数据,而用户又输入了实际ID’ and 1=2 # 没有查询出来数据,可以看出来后面加的and条件生效了,存在SQL注入。SQL注入有效后用户就可以进行更多的SQL注入语句来获取数据库中更多的信息,不仅仅是该表数据甚至整个系统的数据库信息 (注入连表查询数据库结构),最后相当于数据库完全对用户透明了。

    怎么进行SQL注入防护呢?初级程序员面试的时候大多数都问过mybatis中#和¥(无法打出来美元符所以使用了这个)符的区别,使用¥就是SQL的拼接存在SQL注入,而#解析为占位符,里面的内容自动加了引号不存在SQL注入的情况。所以在开发过程中尽量避免使用¥拼接字符串

    三、XSS注入攻击

    假设在某系统中有个评论功能,正常情况下我们希望用户输入的是文字信息,但是用户没有输入文字信息,而是输入了一段初始js代码,那么当其他人打开页面后,评论就会自动变为js代码执行,可能会出现窃取敏感信息或者跳转其他页面等情况,这是就是XSS攻击(跨站脚本攻击)。XSS攻击分为存储型XSS攻击、反射型XSS攻击和DOM型XSS攻击:存储型XSS的意思是XSS攻击脚本保存到了数据库中,就像我们上面举的例子,最终评论存放到了数据库中,这样的攻击持久性强;反射型XSS是临时性的,不会保存在数据库中,一般存在输入信息未保存数据库直接显示出来的接口;DOM型XSS攻击是不需要与服务器交互的攻击,利用的是DOM文档漏洞对用户看到的页面做了修改,一般存在页面跳转携带参数中携带内容直接加载到HTML中。XSS攻击的危害性也比较大,比如获取cookie信息乱发请求破坏数据、跳转其他网站窃取流量等。

    XSS攻击主要的原因是没有对用户输入的信息做限制和处理,其防护就需要系统对输入的内容做过滤,例如有很多开源框架提供的XSS防护过滤器,可以对输入的内容中特殊字符进行转义;服务对于cookie信息一般设置为httpOnly为true,这样就无法在js中直接获取cookie信息;对于输出的DOM代码使用属性转义显示,而不是直接插入。

    四、CSRF攻击

    CSRF(跨站伪造攻击),这个攻击与XSS攻击类似,但是攻击的手段略有不同。大家看小说可能看到过这么一个情节:

    假设张三此时登录了网购网站,但是此时他的QQ或者邮件中收到了某个邮件,该邮件内部有个链接可能是啥中奖了或者大优惠等信息,张三心动了,于是点开了链接那么攻击就开始了,最后用张三的身份下了一堆订单,具体原理呢是张三此时在已经登录了系统,此时浏览器记录了系统的Cookie信息,当张三打开链接的时候也是在同一个浏览器中打开的,所以该链接的页面可以获取到网购系统中的Cookie,同时链接页面中存在一些脚本自动购买商品,这时采用了张三的Cookie信息发送了一堆订单。

    上面所说的案例就是CSRF攻击,CSRF攻击的危害也比较大,而且用户的身份越高造成的危害越大,所以一般未知的连接最好不要随便点击,因为你当前登录的系统不一定是否安全。
    CSRF攻击怎么解决呢?一般在服务代码中都会写拦截器对请求头referer来源的判断,如果用户打开某网站的情况下的请求来源判断为当前网站的网址发送过去的请求,例如我在CSDN网站内部发送的请求会携带这么一条信息:referer:https://blog.csdn.net/qq_19586549/category_11604010.html,同样我把该接口直接使用空白页面打开,此时请求头中没有携带referer信息。

    五、文件操作漏洞

    一般服务都会存在文件操作,包括文件的上传下载等功能,但是如果对应代码编写的不规范同样产生高危漏洞。

    假设A网站中某功能中存在一个文件上传功能,但是该功能没有做文件限制,张三通过文件上传传递了一个shell脚本,当然此时shell脚本是无害的,因为没有执行,但是张三查看文件上传信息时由浏览器直接展示出了文件存储的位置等信息,张三通过一些手段访问到了文件存储的目录使shell脚本执行了,可能脚本文件把整个服务器给格式化了,系统直接崩了。

    文件操作漏洞的危害也比较大,但是其触发比较难,因为它需要用户操作触发上传的文件后才能造成危害,我们一般在程序的上传功能都会对文件的格式进行限制,而且文件上传后会对其重命名操作,前端页面等显示出来的还是原来的名字但是实际上在服务器的文件已经改名了,同时设置上传文件的文件夹为不可执行的。

    更多相关内容
  • 文章目录前  言1 范围2 规范性引用文件3 术语和定义4 缩略语5 网络安全漏洞分类5.1 概述5.2 代码问题5.3 配置错误5.4 环境问题5.5 其他6 网络安全漏洞分级6.1 概述6.2 网络安全漏洞分级指标6.3 网络...

    在这里插入图片描述

    前  言

    本标准按照GB/T 1.1—2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
    本标准代替GB/T 33561—2017《信息安全技术 安全漏洞分类》、GB/T 30279—2013《信息安全技术 安全漏洞等级划分指南》。
    与GB/T 33561—2017、GB/T 30279—2013相比,除编辑性修改外的主要技术变化如下:

    ——原标准GB/T 33561—2017和GB/T 30279—2013中的范围对应本标准的范围,内容进行合并修改。
    ——原标准GB/T 33561—2017和GB/T 30279—2013中的规范性引用文件对应本标准的规范性引用文件,引用文件内容有所补充。
    ——原标准GB/T 33561—2017和GB/T 30279—2013中的术语和定义对应本标准的术语和定义,内容进行合并修改。
    ——删除了原标准GB/T 33561—2017中的缩略语。
    ——原标准GB/T 33561—2017中的“按成因分类”对应本标准的“网络安全漏洞分类”,将原标准采用的线性分类框架调整为树形
    ——删除原标准GB/T 33561—2017中的“按空间分类”。
    ——删除原标准GB/T 33561—2017中的“按时间分类”。
    ——原标准GB/T 30279—2013的“等级划分要素”对应本标准的“网络安全漏洞评级指标”,丰富了漏洞分级指标。
    ——原标准GB/T 30279—2013的“等级划分”对应本标准的“网络安全漏洞分级方法”,将原标准中的分级方法修订为技术分级和综合分级。
    

    本标准由全国信息安全标准化技术委员会(TC260)提出并归口。
    本标准起草单位:

    中国信息安全测评中心、北京中测安华科技有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、国家计算机网络入侵防范中心、北京邮电大学、浙江蚂蚁小微金融服务集团股份有限公司、北京华顺信安科技有限公司、北京中电普华信息技术有限公司、上海三零卫士信息安全有限公司、杭州安恒信息技术股份有限公司、腾讯科技(北京)有限公司、北京启明星辰信息安全技术有限公司、深信服科技股份有限公司、上海犇众信息技术有限公司、中新网络信息安全股份有限公司、北京奇安信科技有限公司、北京长亭科技有限公司、恒安嘉新(北京)科技股份公司、四川省信息安全测评中心。
    

    本标准主要起草人:

    郝永乐、贾依真、郑亮、时志伟、张宝峰、李斌、侯元伟、曲泷玉、孟德虎、张兰兰、毛军捷、饶华一、许源、上官晓丽、任泽君、舒敏、崔牧凡、王文磊、王宏、连樱、张丹、崔宝江、沈传宝、赵武、林亮成、李智林、陈晨、张芳蕾、张玉清、刘奇旭、史慧洋、白健、王宇、杨坤、刘志乐、叶润国、刘桂泽、朱钱杭、韩争光、朱劲波、陈晓光、崔婷婷、王丹琛。
    

    1 范围

    本标准给出了网络安全漏洞(简称“漏洞”)的分类方式分级指标分级方法指南。
    本标准适用于网络产品、服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞信息管理,网络产品生产、技术研发、系统运营等相关活动中进行的漏洞分类、漏洞危害等级评估等工作。

    2 规范性引用文件

    下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件,仅标注日期的版本适用于本文件。凡是不标注日期的引用文件,其最新版本(包括所有的修改)适用于本文件。

    GB/T 20984 信息安全技术 信息安全风险评估规范
    GB/T 22186 信息安全技术  具有中央处理器的 IC 卡芯片安全技术要求
    GB/T 25069 信息安全技术  术语
    GB/T 28458 信息安全技术 安全漏洞标识与描述规范
    GB/T 30276 信息安全技术 安全漏洞管理规范
    

    3 术语和定义

    GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276中界定的术语和以下定义适用于本文件。
    受影响组件 impacted component
    在网络产品或系统中,漏洞触发受影响的组件。

    4 缩略语

    下列缩略语适用于本文件。
    SQL 结构化查询语言(Structured Query Language)

    5 网络安全漏洞分类

    5.1 概述

    网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如图1所示。本标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。

    图1 网络安全漏洞分类导图

    5.2 代码问题

    5.2.1 概述
    此类漏洞指网络产品或系统的代码开发过程中因设计或实现不当而导致的漏洞。
    5.2.2 资源管理错误
    此类漏洞指因对系统资源(如内存、磁盘空间、文件、CPU使用率等)的错误管理导致的漏洞。
    5.2.3 输入验证错误

    5.2.3.1 概述

    此类漏洞指因对输入的数据缺少正确的验证而产生的漏洞。

    5.2.3.2 缓冲区错误

    此类漏洞指在内存上执行操作时,因缺少正确的边界数据验证,导致在其向关联的其他内存位置上执行了错误读写操作,如缓冲区溢出、堆溢出等。

    5.2.3.3 注入

    5.2.3.3.1概述此类漏洞指在通过用户输入构造命令、数据结构或记录的操作过程中,由于缺乏对用户输入数据的正确验证,导致未过滤或未正确过滤掉其中的特殊元素,引发的解析或解释方式错误问题。
    5.2.3.3.2格式化字符串错误此类漏洞指接收外部格式化字符串作为参数时,因参数类型、数量等过滤不严格,导致的漏洞。
    5.2.3.3.3跨站脚本此类漏洞是指在WEB应用中,因缺少对客户端数据的正确验证,导致向其他客户端提供错误执行代码的漏洞。
    5.2.3.3.4命令注入a)概述此类漏洞指在构造可执行命令过程中,因未正确过滤其中的特殊元素,导致生成了错误的可执行命令。
    b)操作系统命令注入此类漏洞指在构造操作系统可执行命令过程中,因未正确过滤其中的特殊字符、命令等,导致生成了错误的操作系统执行命令。
    c)参数注入此类漏洞指在构造命令参数过程中,因未正确过滤参数中的特殊字符,导致生成了错误的执行命令。
    5.2.3.3.5代码注入此类漏洞指在通过外部输入数据构造代码段的过程中,因未正确过滤其中的特殊元素,导致生成了错误的代码段,修改了网络系统或组件的预期的执行控制流。
    5.2.3.3.6SQL注入此类漏洞指在基于数据库的应用中,因缺少对构成SQL语句的外部输入数据的验证,导致生成并执行了错误的SQL语句。

    5.2.3.4 路径遍历

    此类漏洞指因未能正确地过滤资源或文件路径中的特殊元素,导致访问受限目录之外的位置。

    5.2.3.5 后置链接

    此类漏洞指在使用文件名访问文件时,因未正确过滤表示非预期资源的链接或者快捷方式的文件名,导致访问了错误的文件路径

    5.2.3.6 跨站请求伪造

    此类漏洞指在WEB应用中,因未充分验证请求是否来自可信用户,导致受欺骗的客户端向服务器发送非预期的请求。
    5.2.4 数字错误
    此类漏洞指因未正确计算或转换所产生数字,导致的整数溢出、符号错误等漏洞。
    5.2.5 竞争条件问题
    此类漏洞指因在并发运行环境中,一段并发代码需要互斥地访问共享资源时,因另一段代码在同一个时间窗口可以并发修改共享资源而导致的安全问题。
    5.2.6 处理逻辑错误
    此类漏洞是在设计实现过程中,因处理逻辑实现问题或分支覆盖不全面等原因造成。
    5.2.7 加密问题
    此类漏洞指未正确使用相关密码算法,导致的内容未正确加密、弱加密明文存储敏感信息等问题。
    5.2.8 授权问题
    此类漏洞指因缺少身份验证措施或身份验证强度不足而导致的安全问题。

    5.2.8.1信任管理问题此类漏洞是因缺乏有效的信任管理机制,导致受影响组件存在可被攻击者利用的默认密码或者硬编码密码、硬编码证书等问题
    5.2.8.2权限许可和访问控制问题此类漏洞指因缺乏有效的权限许可和访问控制措施而导致的安全问题。

    5.2.9 数据转换问题
    此类漏洞是指程序处理上下文因对数据类型、编码、格式、含义等理解不一致导致的安全问题。
    5.2.10 未声明功能
    此类漏洞指通过测试接口、调试接口等可执行非授权功能导致的安全问题。
    例如,若测试命令或调试命令在使用阶段仍可用,则可被攻击者用于显示存储器内容或执行其它功能。

    5.3 配置错误

    5.3.1概述此类漏洞指网络系统、网络产品或组件在使用过程中因配置文件、配置参数等不合理导致的漏洞。
    5.3.2默认配置错误此类漏洞指因默认不安全的配置状态而产生的漏洞。

    5.4 环境问题

    5.4.1 概述
    此类漏洞指因受影响组件部署运行环境的原因导致的安全问题。
    5.4.2 信息泄露

    5.4.2.1概述此类漏洞是指在运行过程中,因配置等错误导致的受影响组件信息被非授权获取的漏洞。
    5.4.2.2日志信息泄露此类漏洞指因日志文件非正常输出导致的信息泄露。
    5.4.2.3调试信息泄露此类漏洞指在运行过程中因调试信息输出导致的信息泄露。
    5.4.2.4侧信道信息泄露此类漏洞是指功耗、电磁辐射、I/O 特性、运算频率、时耗等侧信道信息的变化导致的信息泄漏。

    5.4.3 故障注入
    此类漏洞是指通过改变运行环境(如温度、电压、频率等,或通过注入强光等方式)触发,可能导致代码、系统数据或执行过程发生错误的安全问题。

    5.5 其他

    暂时无法将漏洞归入上述任何类别,或者没有足够充分的信息对其进行分类,漏洞细节未指明。

    6 网络安全漏洞分级

    6.1 概述

    网络安全漏洞分级根据漏洞分级的场景不同,分为技术分级和综合分级两种分级方式,每种分级方式均包括超危高危中危低危四个等级。其中,技术分级反映特定产品或系统的漏洞危害程度,用于从技术角度对漏洞危害等级进行划分,主要针对漏洞分析人员、产品开发人员等特定产品或系统漏洞的评估工作。综合分级反映在特定时期特定环境下漏洞危害程度,用于在特定场景下对漏洞危害等级进行划分,主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。漏洞技术分级和综合分级均可对单一漏洞进行分级,也可对多个漏洞构成的组合漏洞进行分级。
    网络安全漏洞分级包括分级指标和分级方法两方面内容。分级指标主要阐述反映漏洞特征的属性和赋值,包括被利用性指标类、影响程度指标类和环境因素指标类等三类指标。分级方法主要阐述漏洞技术分级和综合分级的具体步骤和方法,包括漏洞指标类评级方法、漏洞技术分级方法和漏洞综合分级方法,其中,漏洞指标类评级方法是对上述三类指标进行评级的方法,是漏洞技术分级和综合分级必要步骤。

    6.2 网络安全漏洞分级指标

    6.2.1 被利用性

    6.2.1.1 访问路径

    “访问路径”指触发漏洞的路径前提,反映漏洞触发时,需要与受影响组件的最低接触程度。
    访问路径的赋值包括:网络、邻接、本地和物理。通常可通过网络触发的漏洞被利用性可能性高于可通过邻接网络触发的漏洞,可通过本地触发的网络安全漏洞次之,可通过物理接触触发的漏洞被利用可能性最低,见表1。
    表1 访问路径赋值说明表

    赋值描述
    网络网络安全漏洞可以通过网络远程触发。
    邻接网络安全漏洞需通过共享的物理网络或逻辑网络触发。
    本地网络安全漏洞需要在本地环境中触发。
    物理网络安全漏洞需通过物理接触/操作才能触发。

    6.2.1.2 触发要求

    “触发要求”是指漏洞成功触发对受影响组件所在系统环境、配置等限制条件的需求程度,指标反映由于受影响组件及其所在系统环境的版本、配置等原因,漏洞成功触发的要求。
    触发要求的赋值包括:低、高,通常触发要求低的漏洞危害程度高,见表2。
    表2 触发要求赋值说明表

    赋值描述
    漏洞触发对受影响组件的配置参数、运行环境、版本等无特别要求,包括:默认的配置参数、普遍的运行环境。
    漏洞触发对受影响组件的配置参数、运行环境等有特别要求,包括:不常用的参数配置、特殊的运行环境条件。

    6.2.1.3 权限需求

    “权限需求”是指触发漏洞所需的权限,反映漏洞成功触发需要的最低的权限。
    权限需求的赋值包括:无、低和高,通常所需要的权限越少漏洞危害程度越高,见表3。
    表3 权限需求赋值说明表

    赋值描述
    网络安全漏洞触发无需特殊的权限,只需要公开权限和匿名访问权限。
    网络安全漏洞触发需要较低的权限,需要普通用户权限。
    网络安全漏洞触发需要较高的权限,需要管理员权限。

    6.2.1.4 交互条件

    “交互条件”是指漏洞触发是否需要外部用户或系统的参与、配合,反映漏洞触发时,是否需要除触发漏洞的主体之外的其他主体(如:系统用户、其他系统等)参与。
    交互条件的赋值包括:不需要、需要。通常不需要交互条件就能够触发的漏洞危害程度较高,见表4。
    表4 交互条件赋值说明表

    赋值描述
    不需要网络安全漏洞触发无需用户或系统的参与或配合。
    需要网络安全漏洞触发需要用户或系统的参与或配合。例如:通常跨站脚本漏洞、跨站请求伪造漏洞等需要用户的参与。

    6.2.2 影响程度

    • “影响程度”指触发漏洞对受影响组件造成的损害程度。影响程度根据受漏洞影响的各个对象承所载信息的保密性、完整性、可用性等三个指标决定,每个指标的影响赋值为:严重、一般和无,见表5、表6、表7。
    • “保密性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等)信息的保密性的影响程度。
    • “完整性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等)信息的完整性的影响程度。
    • “可用性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等)信息的可用性的影响程度。
      表5 保密性影响赋值说明表
    赋值描述
    严重信息保密性影响严重。例如:保密性完全丢失,导致受影响组件的所有信息资源暴露给攻击者;或者攻击者只能得到一些受限信息,但被暴露的信息可以直接导致严重的信息丢失。
    一般信息保密性影响一般。例如:保密性部分丢失,攻击者可以获取一些受限信息,但是攻击者不能控制获得信息的数量和种类。被暴露的信息不会引起受影响组件直接的、严重的信息丢失。
    信息保密性无影响。漏洞对保密性不产生影响。

    表6 完整性影响赋值说明表

    赋值描述
    严重信息完整性破坏严重,例如:完整性完全丢失,攻击者能够修改受影响组件中的任何信息;或者,攻击者只能修改一些信息,但是,能够对受影响组件带来严重的后果。
    一般信息完整性破坏程度一般,例如:完整性部分丢失,攻击者可以修改信息,信息修改不会给受影响组件带来严重的影响。
    信息完整性无影响。漏洞对完整性不产生影响。

    表7 可用性影响赋值说明表

    赋值描述
    严重信息可用性破坏严重。可用性完全丧失,攻击者能够完全破坏对受影响组件中信息资源的使用访问;或者,攻击者可破坏部分信息的可用性,但是能够给受影响组件带来直接严重的后果。
    一般信息可用性破坏程度一般。可用性部分丧失,攻击者能够降低信息资源的性能或者导致其可用性降低。受影响组件的资源是部分可用的,或在某些情况是完全可用的,但总体上不会给受影响组件带来直接严重的后果。
    信息可用性无影响。漏洞对可用性不产生影响。

    6.2.3 环境因素

    6.2.3.1 被利用成本

    被利用成本包括:低、中、高。通常成本越低,漏洞的危害越严重。如表8所示。
    “被利用成本”指标反映,在参考环境下(例如:当前全球互联网环境;或者某企业内网环境等),漏洞触发所需的成本。例如:是否有公开的漏洞触发工具、漏洞触发需要的设备是否容易获取等。
    表8 被利用成本赋值说明表

    赋值描述
    漏洞触发所需资源很容易获取,成本低,通常付出很少的成本即可成功触发漏洞。例如:漏洞触发工具已被公开下载、漏洞脆弱性组件暴露在公开网络环境下等。
    漏洞触发所需的部分资源比较容易获取,成本不高,在现有条件基础上通过一定的技术、资源投入可以触发漏洞。例如:漏洞触发原理已公开但是无相应工具、漏洞触发需要某种硬件设备、漏洞触发需要一定的网络资源等。
    漏洞触发需要的资源多,成本高,难于获取。例如:漏洞脆弱性组件未暴露在公开网络、漏洞触发工具难以获取等。

    6.2.3.2 修复难度

    修复难度包括:高、中、低。通常漏洞修复的难度越高,危害越严重。如表9所示。
    “修复难度”指标反映,在参考环境下(例如:当前全球互联网环境;或者某企业内网环境等),修复漏洞所需的成本。
    表9 修复难度赋值说明表

    赋值描述
    缺少有效、可行的修复方案,或者修复方案难以执行。例如:无法获取相应的漏洞补丁、由于某种原因无法安装补丁等。
    虽然有修复方案,但是需要付出一定的成本,或者修复方案可能影响系统的使用,或者修复方案非常复杂,适用性差。例如:虽然有临时漏洞修复措施但是需要关闭某些网络服务等。
    已有完善的修复方案。例如:已有相应漏洞的补丁等。

    6.2.3.3 影响范围

    影响范围包括:高、中、低、无。通常漏洞对环境的影响越高,危害越严重。如表10所示。
    影响范围指标描述反映漏洞触发对环境的影响,漏洞受影响组件在环境中的重要性。
    表10 影响范围赋值说明表

    赋值描述
    触发漏洞会对系统、资产等造成严重影响。例如:对环境中大部分资产造成影响,通常高于50%;或者受影响实体处于参考环境的重要位置,或者具有重要作用。
    触发漏洞会对系统、资产等造成中等程度的影响。例如:对环境中相当部分资产造成影响;通常介于10%-50%;或者受影响实体处于参考环境的比较重要位置,或者具有比较重要的作用。
    触发漏洞只会对系统、资产等造成轻微的影响。例如:只对环境中小部分资产造成影响;通常低于10%;或者受影响实体处于参考环境的不重要位置,或者具有不重要作用。
    触发漏洞不会对系统、资产等造成任何资产损失。

    6.3 网络安全漏洞分级方法

    6.3.1 概述
    网络安全漏洞分级是指采用分级的方式对网络安全漏洞潜在危害的程度进行描述,包括技术分级和综合分级两种分级方式,每种方式均分为超危、高危、中危和低危四个等级,具体内容如下:

    超危漏洞可以非常容易地对目标对象造成特别严重后果。
    高危漏洞可以容易地对目标对象造成严重后果。
    中危漏洞可以对目标对象造成一般后果,或者比较困难地对目标造成严重后果。
    低危漏洞可以对目标对象造成轻微后果,或者比较困难地对目标对象造成一般严重后果,或者非常困难地对目标对象造成严重后果。

    漏洞分级过程主要包括最初的指标赋值、中间的指标评级和最后的分级计算三个步骤,其中,指标赋值是对根据具体漏洞对每个漏洞分级指标进行人工赋值;指标评级是根据指标赋值结果分别对被利用性、影响程度和环境因素等三个指标类进行评级;分级计算是根据指标评级计算产生技术分级或综合分级的结果,技术分级结果由被利用性和影响程度两个指标类计算产生,综合分级由被利用性、影响程度和环境因素三个指标类计算产生。

    图2 漏洞分级流程图
    在这里插入图片描述

    6.3.2 网络安全漏洞指标评级

    6.3.2.1 被利用性评级

    被利用性评级反映网络安全漏洞触发的技术可能性。被利用性指标组中各指标的不同取值的组合对应不同的被利用性级别。被利用性级别分为9级,用1-9的数字表示,数值越大被利用的可能性越高,详见附录A。

    6.3.2.2 影响程度评级

    影响程度评级反映网络安全漏洞触发造成的危害程度。影响程度指标组中各指标的不同取值的组合对应不同的影响程度级别。不同的影响程度级分为9级,用1-9的数字表示,数值越大导致的危害程度越高,详见附录B。

    6.3.2.3 环境因素评级

    环境因素是对漏洞进行评级是需要考虑的漏洞所处的网络环境、当前漏洞被利用的技术程度等外部环境。环境因素评级反映在参考环境下,漏洞的危害程度。环境因素指标组中各指标的不同取值的组合对应不同的环境因素级别。不同的环境因素级别分为9级,用1-9的数字表示,数值环境因素导致的漏洞危害程度越高,详见附录C。
    6.3.3 网络安全漏洞技术分级
    网络安全漏洞技术分级分为:超危、高危、中危、低危四个级别。网络安全漏洞技术分级由被利用性和影响程度两个指标类决定,漏洞被利用可能性越高(被利用性评级越高)、影响程度越严重(影响程度评级越高),漏洞技术分级的级别越高(漏洞危害程度越大)。漏洞技术分级方法如下:

    • 首先,对被利用性指标进行赋值,根据赋值结果,参照附录A计算得到漏洞被利用性评级。
    • 然后,对影响程度指标进行赋值,根据赋值结果,参照附录B计算得到影响程度评级。
    • 最后,根据被利用性和影响程度评级的结果,参照附录D,计算得到网络安全漏洞技术分级。

    6.3.4 网络安全漏洞综合分级
    网络安全漏洞综合分级分为:超危、高危、中危、低危四个级别。网络安全漏洞综合分级由被利用性、影响程度和环境因素三个指标类决定,漏洞被利用可能性越高(被利用性评级越高)、影响程度越严重(影响程度评级越高),环境对漏洞影响越敏感(环境因素评级越高),漏洞综合分级的级别越高(漏洞危害程度越大)。漏洞综合分级方法如下:

    • 首先,对漏洞进行技术分级,根据前述漏洞技术分级步骤,对被利用性指标进行赋值,根据赋值结果,参照附录A计算得到漏洞被利用性评级;对影响程度指标进行赋值,根据赋值结果,参照附录B计算得到影响程度评级;根据被利用性和影响程度评级的结果,参照附录D,计算得到网络安全漏洞技术分级。
    • 然后,对环境因素指标进行赋值,根据赋值结果,参照附录C计算得到漏洞环境因素评级。
    • 最后,根据技术评级和环境因素评级的结果,参照附录E,计算得到网络安全漏洞综合分级。

    附 录 A(规范性附录)被利用性评级表

    表A.1 被利用性评级表

    序号访问路径触发要求权限需求交互条件被利用性评级
    1网络不需要9
    2网络不需要8
    3网络需要
    4邻接不需要
    5本地不需要
    6网络不需要
    7网络需要7
    8邻接不需要
    9网络不需要
    10邻接需要6
    11本地需要
    12本地不需要
    13网络不需要5
    14网络需要
    15邻接不需要
    16邻接需要
    17邻接需要4
    18邻接不需要
    19本地不需要
    20本地需要
    21网络需要
    22本地不需要3
    23网络不需要
    24网络需要
    25邻接需要
    26邻接不需要
    27本地不需要2

    表A.1 (续)

    序号访问路径触发要求权限需求交互条件被利用性评级
    28本地需要
    29物理不需要
    30网络需要
    31邻接不需要
    32邻接需要
    33本地需要
    34物理需要
    35物理不需要
    36本地不需要
    37本地需要 1
    38邻接需要
    39物理不需要
    40物理不需要
    41物理需要
    42物理不需要
    43本地需要
    44物理需要
    45物理需要
    46物理不需要
    47物理需要
    48物理需要

    备注 按照“访问路径”、“触发要求”、“权限需求”、“交互程度”的不同,可分为48种组合情况,按照每种组合的被利用程度的差异,从高到低可分为9个级别。

    附 录 B(规范性附录)影响程度评级表

    表B.1 影响程度评级表
    在这里插入图片描述

    附 录 C(规范性附录)环境因素评级表

    表C.1 环境因素评级表
    在这里插入图片描述

    附 录 D(规范性附录)漏洞技术评级表

    表D.1 漏洞技术评级表
    在这里插入图片描述

    附 录 E(规范性附录)漏洞综合评级表

    表E.1 漏洞综合评级表
    在这里插入图片描述

    附 录 F(规范性附录)漏洞评级示例

    示例一 OpenSSL 缓冲区溢出(CVE-2014-0160)漏洞分级示例

    1、漏洞名称
    OpenSSL 缓冲区溢出(CVE-2014-0160)
    2、漏洞简介
    OpenSSL的TLS和DTLS实现过程中的d1_both.c和t1_lib.c文件中存在安全漏洞,该漏洞源于当处理Heartbeat Extension数据包时,缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(如用户名、密码、Cookie、私钥等)。
    3、漏洞评级:
    表F.1 CVE-2014-0160漏洞评级表
    在这里插入图片描述
    4、漏洞分级
    通过上述表格,CVE-2014-0160漏洞的被利用性为9级、影响程度为4级,因此技术评级为高危;同时,该漏洞的环境因素为7级,结合技术评级为高危,可知该漏洞的综合评级为高危。

    示例二 开源软件 Plait plaiter 文件覆盖(CVE-2008-4085)漏洞分级示例

    1、漏洞名称
    开源软件 Plait plaiter 文件覆盖(CVE-2008-4085)
    2、漏洞简介
    Plait是一款命令行方式的音乐播放软件。
    Plait 1.6之前版本的plaiter存在文件覆盖漏洞。本地用户可通过在cut. , h e a d . , head. ,head., awk. , p s . , ps. ,ps. 的临时文件中使用symlink,覆盖任意文件。
    3、漏洞评级:
    表F.2 CVE-2008-4085漏洞评级表
    在这里插入图片描述

    4、漏洞分级
    通过上述表格,CVE-2008-4085漏洞的被利用性为6级、影响程度为3级,因此技术评级为中危;同时,该漏洞的环境因素为3级,结合技术评级为中危,可知该漏洞的综合评级为低危。

    参 考 文 献

    [1]Common Vulnerability Scoring System v3.1: Specification Document
    [2]Common Weakness Enumeration List Version 3.1

    展开全文
  • 常见Web安全漏洞

    万次阅读 2021-03-07 09:14:37
    常见Web漏洞小结 1越权漏洞 不同权限账户之间的存在越权访问 检测 抓去a用户功能链接,然后登录b用户对此链接进行访问 抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据 替换不同的cookie进行测试查看 ...

    常见Web安全漏洞

    1、越权漏洞

    不同权限账户之间的存在越权访问

    检测
    抓去a用户功能链接,然后登录b用户对此链接进行访问
    抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据
    替换不同的cookie进行测试查看

    防范
    1服务器端必须对每个页面链接进行权限判断。
    2用户登陆后,服务器端不应再以客户端提交的用户身份信息为依据,而应以会话中服务端保存的已登陆的用户身份信息为准。
    3页面提交的资源标志与已登陆的用户身份进行匹配比对,然后判断其对当前链接是否有权限。
    4必须在服务器端对每个请求URL进行鉴权,而不能仅仅通过客户端的菜单屏蔽或者按钮Disable来限制。

    2、SQL注入

    后台sql语句拼接了用户的输入,而且web应用程序对用户输入数据的合法性没有判断和过滤,前端传入后端的参数是攻击者可控的,攻击者通过构造不同的sql语句来实现对数据库的任意操作。

    检测
    对注入点进行测试,
    单引号,双引号–>报错
    And 1=1 and 1=2 ‘or ‘1’ = ‘1 ‘or ‘1’ = ‘2 两次web服务器响应不同
    时间延时 sleep(5) 延迟响应
    Get post 参数、cookie参数、http请求头
    Sqlmap进行测试

    防范
    (1)预编译(PreparedStatement)(JSP)
    SQL注入只对SQL语句的编译过程有破坏作用,而PreparedStatement已经预编译好了,执行阶段只是把输入串作为数据处理。而不再对SQL语句进行解析。因此也就避免了sql注入问题。
    (2)PDO(PHP)
    PDO对于解决SQL注入的原理也是基于预编译。
    (3)使用正则表达式过滤,对用户输入的数据进行严格的检查,使用正则表达式对危险字符串进行过滤,这种方法是基于黑名单的过滤
    (4)使用 Web 应用防火墙

    报错注入–>传送门
    宽字节注入–>传送门

    3、XSS

    攻击者在web页面插入恶意的Script代码,当用户浏览访问时,其中的script代码会被执行,从而达到恶意攻击。

    检测
    查找可能出现xss跨站的位置,搜索框、信息存储等
    常用测试语句
    查看源码,测试语句是否在系统响应HTML代码中输出。
    可以输出的话进行xss测试

    防范
    对用户的输入(和URL参数)进行过滤,对输出进行html编码;对用户提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容;然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。
    Httponly

    4、任意文件上传

    攻击者上传web支持的动态脚本程序(asp,asp.net,php,jsp等)
    Web程序对用户上传的类型不做检测,或者被绕过

    检测
    找到可以上传的地方,上传要求合理的合法文件,查看上传点是否可以使用,需要一些绕过姿势(大小写切换,00截断,抓包改类型等等),上传webshell,连刀。

    防范
    客户端检测:使用js对上传图片检测,包括文件大小,文件扩展名,文件类型等
    服务端检测:对文件大小,文件路径,文件扩展名,文件类型,文件内容检测,对文件重命名等。
    服务器端上传目录设置不可执行权限。
    检查网站有没有文件解析漏洞和文件包含漏洞。
    将文件上传到单独的文件服务器,并且单独设置文件服务器的域名。
    文件上传过滤和绕过–>传送门

    4.1、任意文件读取/下载漏洞

    检测:
    通过web漏洞扫描工具对网站实施扫描可能发现任意文件读取/下载漏洞,发送一系列”…/”字符来遍历高层目录,并且尝试找到系统的配置文件或者系统中存在的敏感文件。
    也可通过判断网站语言,并根据其url中部分提供的参数,进行构造相关的路径信息,如收集到网站中间件版本为apache,则想办法构造…/…/…/ WEB-INF/web.xml等,然后查看其是否可被读取或者下载出来。
    有些WAF会过滤…/,可以构造 /.%252e/.%252e/.%252e/ , %25对应的是%,%2e对应的是.,所以 .%252e/ 对应的是 …/

    防范
    1对用户传过来的文件名参数进行统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。
    2更新其中间件的版本,可能是因为中间件的版本过低。
    3 web应用程序可以使用chroot环境包含被访问的web目录,或者使用绝对路径+参数来访问文件目录,使其即使越权也在访问目录之内。
    4用户下载文件之前需要进行权限判断
    5 用户下载时需提交对应ID
    6不允许提供目录遍历服务。

    5、目录遍历攻击

    网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以为进一步入侵网站做准备。

    检测
    爬行,或者暴力破解系统目录结构。
    在url后加常规目录,看是否被列出来
    可以利用web漏洞扫描器扫描web应用进行检测,也可通过搜索,网站标题包含 “index of” 关键词的网站进行访问

    防范
    对用户传过来的参数名进行编码,对文件类型进行白名单控制,拒绝恶意字符或空字符。

    IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS。

    Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找“Options Indexes FollowSymLinks”,修改为“ Options -Indexes”(减号表示取消,保存退出,重启Apache)。

    Nginx 中默认不会开启目录浏览功能,若您发现当前已开启该功能,可以编辑nginx.conf文件,删除如下两行:autoindex on;autoindex_exact_size on,然后重启Nginx。

    6、关键会话重放攻击

    不断恶意或欺诈性地重复一个有效的数据包,重放攻击者可以拦截并重复发该数据到服务端,服务器端未对用户提交的数据包重放进行有效限制。

    检测
    抓包抓取登录请求,获得用户和密码参数
    密码字典 暴力破解

    防范
    添加token、时间戳、图片验证码

    7、CSRF

    攻击者以用户的身份完成操作达到各种目的

    检测
    登录网站,使用bp构造csrf poc 保存在html
    发送到另一台服务器,访问html查看是否可以实现html功能

    防范
    验证 http referer字段,看其请求来源
    在请求地址中添加token并验证
    在http头中自定义属性并验证

    8、明文传输

    对系统用户口令等机密信息的保护不足,攻击者利用攻击工具,从网络上窃取合法用户的口令数据,从而登录系统执行非法操作。

    检测
    使用工具抓取关于用户的数据包
    查看相关参数是否做加密处理

    防范
    对密码信息进行加密处理
    使用加密算法 不使用易破解的加密方式

    9、文件包含

    注入一段用户能控制的脚本或代码,并让服务器端执行,对要包含的文件变量名没有进行检测或初始化。
    Include include_once require require_once
    检测
    在文件包含的地方,包含攻击者的文件进行测试

    防范
    尽量不使用文件包含
    使用include,如include(‘test.php’)
    包含文件验证–是否为白名单,白名单过滤
    路径限制,进制目录跳转字符
    关闭 allow_url_include=On(远程文件包含)、allow_url_fopen=On(本地文件包含)
    文件包含–>传送门

    10、业务逻辑漏洞

    程序逻辑不严谨或太复杂,导致一些逻辑分支不能够正常处理或处理错误。

    检测
    一般在任意密码修改(没有密码验证),越权访问,密码找回,交易支付金额,进行抓包重放查看是否与逻辑不符合。

    防范
    业务流程需要有必要的控制参数,同时避免控制参数被绕过。
    防止绕过流程节点和检查参考(如token等)
    不需要用户操作或访问的数据避免发送到客户端(如验证码发送给客户端)
    验证所有输入(数字的边界、正负值等)
    防范资源消耗攻击(如短信等)、拒绝服务攻击(大规模数据查询,如搜索通配符)等

    11、命令执行

    用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,攻击者的输入作为系统命令的参数拼接到命令行中。

    检测
    在浏览器输入 拼接&、 | 、|| (命令连接符)

    防范
    进行命令执行的函数或者方法之前,都参数进行过滤
    参数的值尽量用引号包裹,并在拼接前调用addslashes进行转义
    禁止能执行系统命令的函数,可在php的配置文件中设置 disable_functions
    命令执行和代码执行–>传送门

    12、代码执行

    应用程序在调用一些能够将字符串转换为代码的函数时,没有考虑用户是否控制这个字符串,将造成代码执行漏洞。

    检测
    源码,代码审计

    防范
    保证用户不能接触eval()函数,使用正则严格判断
    字符串使用单引号包裹,并在插入前进行 addslashes()
    对preg_replace()放弃使用e修饰符,保证第二个参数中对于正则匹配出的对象,用单引号包裹。
    命令执行和代码执行–>传送门

    13、SSRF

    由攻击者构造请求,有服务端发起请求的安全漏洞,本质是信息泄露。

    检测
    通过分享功能
    转码服务
    在线翻译
    图片加载与下载
    图片文章收藏
    关键字: share wap url link src source target u 3g display sourceURl imageURL domain

    防御
    限制请求的端口只能为web端口,只允许访问http,https的请求(禁掉file协议)
    限制不能访问内网的ip,以防止对内网进行攻击
    屏蔽返回的详细信息。
    SSRF–>传送门

    14、XXE

    在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件 和 代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。

    检测
    通过手工篡改网站中xml实体中的头部,加入相关的读取文件或者是链接,或者是命令执行等,如file:///$path/file.txt;http://url/file.txt;看看能否显示出来

    防范
    XML解析库在调用时严格禁止对外部实体的解析。
    使用开发语言提供的禁用外部实体的方法
    过滤用户提交的XML数据
    XXE(XML外部实体注入)漏洞–>传送门

    展开全文
  • 安全漏洞与网络攻击

    千次阅读 多人点赞 2021-10-07 16:11:19
    一、安全漏洞及产生原因 1. 安全漏洞概念 2. 漏洞产生的技术原因 3. 漏洞产生的经济原因 二、信息收集与分析 1. 攻击的过程 2. 信息收集:攻击的前奏 3.收集什么信息 4. 信息收集与分析工具 5. 公开信息...

    目录

    一、安全漏洞及产生原因

    1. 安全漏洞概念

    2. 漏洞产生的技术原因

    3. 漏洞产生的经济原因

    二、信息收集与分析

    1. 攻击的过程

    2. 信息收集:攻击的前奏

    3. 收集什么信息

    4. 信息收集与分析工具

    5. 公开信息收集-搜索引擎

    6. 信息收集与分析

    7. 信息收集与分析的防范

    三、网路攻击实施

    1. 网络攻击方式

    2. 网络攻击方式—电子欺骗

    3. 典型网络攻击—拒绝服务攻击

    4. 网络攻击方式

    四、后门设置与痕迹消除

    1. 后门—你的就是我的

    2. 痕迹—攻击者的把柄

    3. 日志保护

    4. 日志分析重点

    5. 日志分析


    一、安全漏洞及产生原因

    1. 安全漏洞概念

    安全漏洞:也称脆弱性,是计算机系统存在的缺陷

    漏洞的形式:安全漏洞以不同形式存在、漏洞数量逐年递增

    2. 漏洞产生的技术原因

    (1)内因:

    软件复杂性使得漏洞不可避免;

    软件规模增大,功能越来越多,越来越复杂,难以避免缺陷;

    软件模块复用,导致安全漏洞延续;

    缺乏从设计开始安全考虑。

    (2)外因:互联网发展对软件安全的挑战

    3. 漏洞产生的经济原因

    软件开发管理过程中缺乏对安全的重视:

    (1)市场和业务要求将交付期和软件功能做主要因素

    (2)用户方没有提供安全方面的压力

    “劣币驱除良币"效应,重视安全的公司被淘汰

    劣币驱除良币效应后果:

    (1)企业管理层对安全开发缺乏了解;

    (2)开发管理人员不了解软件安全开发的管理流程、方法和技巧;

    (3)软件开发人员缺乏将软件安全需求、安全特性和编程方法进行结合的能力;

    (4)测试人员无法以“坏人"的角度来思考软件安全问题。

    漏洞产生的应用环境原因:

    (1)互联网的发展使软件运行环境从传统的封闭、静态和可控变为开放、动态和难控;

    (2)攻防信息不对称性进一步增强,攻易守难的矛盾进一步凸显;

    (3)强大经济利益推动漏洞挖掘产业化方向发展。

    二、信息收集与分析

    1. 攻击的过程

    (1)踩点:信息收集及分析

    (2)入侵:实施攻击

    (3)后门:方便下次进入

    (4)痕迹:清除入侵记录

    2. 信息收集:攻击的前奏

    为什么要信息收集?

    1. 知己知彼百战不殆
    2. 信息是攻击的基础
    3. 信息收集可以成为攻击的方式

    为什么需要分析目标?

    1. 确定收集信息的准确性
    2. 攻击方式及攻击路径的选择

    3. 收集什么信息

    目标IT相关信息:

    (1)目标的域名信息

    (2)目标的网络拓扑结构、安全设备型号、配置

    (3)目标系统版本、数量

    (4)目标应用软件版本、型号、开发语言、开发商等

    (5)目标的相关Web网页内容

    目标相关公开信息:

    (1)组织机构、地理位置、电话号码、邮件等联系方式

    (2)近期重大事件

    (3)员工简历

    其他可能令攻击者感兴趣的信息

    4. 信息收集与分析工具

    (1)系统命令:Nslookup、Whois、tracert、ping等

    (2)专用软件:Kali linux等

    (3)搜索引擎:google、百度扫描器

    (4)扫描器:

    端口扫描器:nmap等

    漏洞扫描软件:

    √ 系统漏洞扫描:nessus等;

    √ Web漏洞扫描: appscan等;

    √ 数据库漏洞

    5. 公开信息收集-搜索引擎

    快速定位:

    某开源软件xxxx.jsp脚本存在漏洞,Google搜索“xxxx.jsp”可以找到存在此脚本的Web网站。

    信息挖掘:

    (1)定点采集:Google搜索“.doc+website”挖掘信息;

    (2)隐藏信息:.mdb、.ini、.txt、.old、.bak、.001、……

    (3)后台入门

    6. 信息收集与分析

    网络信息收集:

    (1)正常服务(如whois)

    (2)系如功能:Ping、tracert

    系统及应用信息收集:

    √ 服务旗标

    √ 欢迎信息

    √ 端口扫描

    √ TCP/IP协议指纹识别

    7. 信息收集与分析的防范

    公开信息收集防御:

    信息展示最小化原则,不必要的信息不要发布。

    网络信息收集防御:

    (1)部署网络安全设备(IDS、防火墙等)

    (2)设置安全设备应对信息收集(阻止ICMP)

    系统及应用信息收集防御:

    (1)修改默认配置(旗标、端口等)

    (2)减少攻击面

    三、网路攻击实施

    1. 网络攻击方式

    √ 配置缺陷:

    (1)默认账户/口令

    (2)不合理配置

    (3)案例:启用匿名(默认)、默认匿名身份(iuser_计算机名称)、配置给予更高权限。

    √ 口令破解

    √ 社会工程学攻击

    2. 网络攻击方式—电子欺骗

    欺骗攻击(Spoofing)是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术。

    电子欺骗的方式:

    (1)ARP欺骗(ARP Spoof)

    (2)DNS欺骗(DNS Spoof)

    (3)IP欺骗(IP Spoof)

    (4)TCP会话劫持(TCP hijack)

    (5)路由欺骗

    3. 典型网络攻击—拒绝服务攻击

    什么是拒绝服务:

    拒绝服务攻击(Denial of Service),顾名思义就是让被攻击的系统无法进行正常服务的攻击方式。

    拒绝服务攻击方式:

    (1)利用系统、协议或服务的漏洞;

    (2)消耗目标系统服务资源能力(带宽、性能)

    典型攻击方式:

    SYN Flood

    UDP Flood

    Teardrop

    Ping of death

    Smurf

    Land

    4. 网络攻击方式

    溢出攻击:

    (1)缓冲区溢出(曾经的攻与防的焦点)

    心脏滴血、想哭勒索软件等都是利用溢出漏洞进行攻击

    (2)格式化字符串溢出

    代码注入:

    (1)SQL注入

    (2)命令注入

    (3)Xpath注入

    跨站脚本

    跨站请求

    会话管理漏洞利用

    文件上传漏洞

    四、后门设置与痕迹消除

    1. 后门—你的就是我的

    后门可以做什么:

    (1)方便下次直接进入

    (2)监视用户所有行为、隐私

    (3)完全控制用户主机

    后门方式:

    √ 系统后门

    操作系统级后门:

    (1)特洛伊木马程序

    (2)Rootkit

    (3)设备驱动

    应用级后门:

    (1)应用软件模块(Apache model)

    (2)被篡改的应用软件

    √ 脚本后门

    脚本后门威胁:

    (1)隐藏性强

    (2)难以查找

    √ 账号后门

    (1)隐藏账号

    (2)已知密码的正常账号

    (3)超权限账号

    2. 痕迹—攻击者的把柄

    √ 清除/改写日志:

    (1)日志的清除方法

    (2)日志的改写工具

    √ 删除中间文件

    √ 删除创建的用户

    3. 日志保护

    日志设置:

    (1)尽可能多的信息

    (2)日志时间

    (3)日志空间

    日志权限

    日志存储:

    (1)本地路径及备份方式

    (2)网络存储(日志服务器)

    4. 日志分析重点

    日期时间(确定攻击的时间)

    源IP(确定攻击者IP)

    请求方法(部分情况下要关注post操作)

    请求链接(查找链接中的特殊字符串)

    状态代码(了解操作的结果)

    5. 日志分析

    关注超长的记录:

    (1)http协议对URL长度没有限制

    (2)一般网站正常情况下不需要太长的URL

    关注记录中的非正常编码:

    例如红色代码蠕虫攻击会形成如下记录:

    关注日志请求链接中的关键字:

    cmd、select、xp_cmdshell、Post等

    展开全文
  • 什么是安全漏洞扫描?

    千次阅读 2021-01-08 11:10:37
    安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。 ## 安全漏洞(security hole) 漏洞是在硬件、...
  • Nginx 安全漏洞

    万次阅读 2021-12-22 10:21:38
    Nginx 安全漏洞 漏洞引发的威胁: CVE-2021-23017 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0 CVE-2019-9511,CVE-2019-...
  • WordPress 安全漏洞

    千次阅读 2022-01-07 14:21:37
    WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。... WordPress plugin WP Upload Restriction 2.2.3及之前版本存在安全漏洞,低级身份验证的用户可以查看管理员添加的自定义扩展。
  • 什么是软件安全漏洞

    千次阅读 2022-03-03 17:59:45
    我发现了这个软件的一个安全漏洞Vulerabiliyt,可能会被利用来做坏事 ... 近几年,随着信息化的快速发展,对于软件漏洞分析和漏洞利用技术已经趋向成熟,黑客也利用这些技术进行攻击,也正因为如此,软件漏洞领域...
  • 关于防御网络攻击,最好的防御就是强有力的出击。首先,必须使用适当的工具和流程(如漏洞扫描程序和威胁检测技术)来识别潜在的漏洞和威胁。确定漏洞和威胁后,分析确定它们的优先级,按重要性顺序消除或减轻它们。
  • 网络安全漏洞分类,你值得拥有~~
  • 常见Web安全漏洞总结及推荐解决方案1.SQL注入:2.不安全的会话管理漏洞:3.任意文件上传:4.任意文件读取:5.任意代码执行:6.越权访问:7.敏感信息泄露:8.XSS跨站脚本攻击:9.CSRF跨站请求伪造:10.用户名/口令...
  • 网络安全漏洞深度剖析

    千次阅读 2021-10-16 16:23:05
    一、漏洞背景 2021年7月13日,美国微软威胁情报中心发布安全公告[1],文中指出黑客利用...根据补丁比较和fuzzer,宁静之盾安全团队成功复现了该远程溢出漏洞,并能在实战环境下成功利用。 截至9月10日,互联网上未发现
  • Apache安全漏洞

    千次阅读 2021-05-10 20:17:35
    Apache安全漏洞 1、Apache中间件介绍 Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且...
  • Springboot -- 网络安全漏洞处理

    千次阅读 2022-02-26 14:50:11
    文章目录不安全的 HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式不安全的 HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 ...
  • 近日,安全狗应急响应中心监测到Oracle官方发布了4月补丁更新公告,此次发布的补丁共包含520个安全补丁,涉及Oracle和第三方组件中的漏洞
  • Web应用十大安全漏洞

    千次阅读 2022-01-26 11:11:34
    Web应用十大安全漏洞 开放Web应用程序安全项目通过调查,列出了对Web应用的危害较大的10个安全问题,也是业界集中关注最严重的问题。主要包括:未验证参数、访问控制缺陷、账户及会话管理缺陷、跨网站脚本漏洞、缓冲...
  • php安全漏洞怎么修复?

    千次阅读 2021-03-23 17:07:41
    该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHP ‘php_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_...
  • ❖近日,国家工业信息安全发展研究中心颁发了首批“信创政务产品安全漏洞专业库技术支撑单位”证书,知道创宇凭借深厚的技术实力与优秀的支撑能力,成功入选信创政务产品安全漏洞专业库(以下简称CIT...
  • nginx安全漏洞(CVE-2021-23017)修复

    万次阅读 多人点赞 2021-07-26 23:41:38
    nginx安全漏洞(CVE-2021-23017) 详细描述 Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可...
  • 安全漏洞的英文

    千次阅读 2021-06-29 02:42:19
    安全漏洞用英语怎么说bug系统漏洞 和安全隐患 用英语怎么说??系统漏洞 system bug Bug 程序缺陷、臭虫 电脑系统或者程序中存在的任何一种破坏正常运转能力的问题或者缺陷,都可以叫做“bug”.安全隐患Security hidden...
  • 盘点 | 2021年十大网络安全漏洞

    千次阅读 2022-04-21 14:56:31
    以下为中科三方梳理的2021年十大网络安全漏洞,一起来看下吧。 一、Apache Log4j2 远程代码执行漏洞 Apache Log4j2是一个基于Java的日志记录工具,该日志框架被大量用于业务系统开发,用来记录日志信息。 Log4j2组件...
  • 业务安全漏洞总结

    千次阅读 2021-11-25 14:38:22
    登录认证模块 暴力破解 暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密 码进行逐一比较,直到找出正确的账号与密码
  • 常见的计算机网络安全漏洞有哪些

    千次阅读 2021-06-18 01:16:18
    当今的世界呈现网络信息化、网络全球化的发展大趋势。...只有这样,计算机网络才能造福人类,下面来看看常见的计算机网络安全漏洞有哪些吧?1、XSS跨站脚本漏洞所谓XSS脚本漏洞即是恶意攻击者往...
  • 最近,有两幅关于 Vue 安全问题的截图在业界广为传播,截图内容表明目前有多家公司统计软件开发过程中使用 Vue.js 和 SonarQube 的情况,疑似有黑客利用 Vue.js 和 S...
  • 安全漏洞之host头攻击漏洞

    千次阅读 2020-03-27 20:05:22
    安全漏洞之host头攻击漏洞 漏洞描述 渗透测试人员发现,抓包修改host头,在返回包中的base标签中的值会随host值改变,说明存在host头攻击漏洞。 漏洞建议 建议使用SERVER_NAME而不是hostheader。 脆弱性...
  • 关于漏洞扫描nginx安全漏洞的修复。 服务器漏洞扫描中扫出了nginx的安全漏洞,nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372),受影响版本为0.6.18-1.20.0;给出解决办法为升级补丁修复,由于...
  • Spring 框架RCE 安全漏洞及解决方式

    千次阅读 2022-03-31 21:50:30
    “SpringShell: Spring Core ...这个漏洞是一个RCE的漏洞,RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
  • 近日,中国软件评测中心(工业和信息化部软件与集成电路促进中心)公布了新增的7家移动互联网APP产品安全漏洞库技术支撑单位名单,百度凭借突出的移动终端漏洞挖掘、漏洞分析和应急响应能力在40余家申报单位中...
  • PCI DSS数据安全测评旨在促进并增强持卡人账户数据安全,为保护帐户数据的技术和操作要求提供了一个基准,便于统一的数据安全措施在全球范围内的广泛应用。PCI DSS 适用于参与支付卡处理的所有实体——包括商户、...
  • 2020十大安全漏洞介绍

    千次阅读 2020-12-07 20:45:45
    OWASP(开放式web应用程序安全项目) Top 10 注入 失效的身份认证 1、定义 身份认证:身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 322,481
精华内容 128,992
关键字:

安全漏洞