摘要:目录一安全漏洞及产生原因一安全漏洞及产生原因安全漏洞概念安全漏洞概念漏洞产生的技术原因漏洞产生的技术原因漏洞产生的经济原因漏洞产生的经济原因二信息收集与分析二信息收集与分析攻击的过程攻击的过程信息收集攻击的前
目录
安全漏洞:也称脆弱性,是计算机系统存在的缺陷
漏洞的形式:安全漏洞以不同形式存在、漏洞数量逐年递增
(1)内因:
软件复杂性使得漏洞不可避免;
软件规模增大,功能越来越多,越来越复杂,难以避免缺陷;
软件模块复用,导致安全漏洞延续;
缺乏从设计开始安全考虑。
(2)外因:互联网发展对软件安全的挑战
软件开发管理过程中缺乏对安全的重视:
(1)市场和业务要求将交付期和软件功能做主要因素
(2)用户方没有提供安全方面的压力
“劣币驱除良币"效应,重视安全的公司被淘汰
劣币驱除良币效应后果:
(1)企业管理层对安全开发缺乏了解;
(2)开发管理人员不了解软件安全开发的管理流程、方法和技巧;
(3)软件开发人员缺乏将软件安全需求、安全特性和编程方法进行结合的能力;
(4)测试人员无法以“坏人"的角度来思考软件安全问题。
漏洞产生的应用环境原因:
(1)互联网的发展使软件运行环境从传统的封闭、静态和可控变为开放、动态和难控;
(2)攻防信息不对称性进一步增强,攻易守难的矛盾进一步凸显;
(3)强大经济利益推动漏洞挖掘产业化方向发展。
(1)踩点:信息收集及分析
(2)入侵:实施攻击
(3)后门:方便下次进入
(4)痕迹:清除入侵记录
为什么要信息收集?
为什么需要分析目标?
目标IT相关信息:
(1)目标的域名信息
(2)目标的网络拓扑结构、安全设备型号、配置
(3)目标系统版本、数量
(4)目标应用软件版本、型号、开发语言、开发商等
(5)目标的相关Web网页内容
目标相关公开信息:
(1)组织机构、地理位置、电话号码、邮件等联系方式
(2)近期重大事件
(3)员工简历
其他可能令攻击者感兴趣的信息
(1)系统命令:Nslookup、Whois、tracert、ping等
(2)专用软件:Kali linux等
(3)搜索引擎:google、百度扫描器
(4)扫描器:
端口扫描器:nmap等
漏洞扫描软件:
√ 系统漏洞扫描:nessus等;
√ Web漏洞扫描: appscan等;
√ 数据库漏洞
快速定位:
某开源软件xxxx.jsp脚本存在漏洞,Google搜索“xxxx.jsp”可以找到存在此脚本的Web网站。
信息挖掘:
(1)定点采集:Google搜索“.doc+website”挖掘信息;
(2)隐藏信息:.mdb、.ini、.txt、.old、.bak、.001、……
(3)后台入门
网络信息收集:
(1)正常服务(如whois)
(2)系如功能:Ping、tracert
系统及应用信息收集:
√ 服务旗标
√ 欢迎信息
√ 端口扫描
√ TCP/IP协议指纹识别
公开信息收集防御:
信息展示最小化原则,不必要的信息不要发布。
网络信息收集防御:
(1)部署网络安全设备(IDS、防火墙等)
(2)设置安全设备应对信息收集(阻止ICMP)
系统及应用信息收集防御:
(1)修改默认配置(旗标、端口等)
(2)减少攻击面
√ 配置缺陷:
(1)默认账户/口令
(2)不合理配置
(3)案例:启用匿名(默认)、默认匿名身份(iuser_计算机名称)、配置给予更高权限。
√ 口令破解
√ 社会工程学攻击
欺骗攻击(Spoofing)是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术。
电子欺骗的方式:
(1)ARP欺骗(ARP Spoof)
(2)DNS欺骗(DNS Spoof)
(3)IP欺骗(IP Spoof)
(4)TCP会话劫持(TCP hijack)
(5)路由欺骗
什么是拒绝服务:
拒绝服务攻击(Denial of Service),顾名思义就是让被攻击的系统无法进行正常服务的攻击方式。
拒绝服务攻击方式:
(1)利用系统、协议或服务的漏洞;
(2)消耗目标系统服务资源能力(带宽、性能)
典型攻击方式:
SYN Flood
UDP Flood
Teardrop
Ping of death
Smurf
Land
溢出攻击:
(1)缓冲区溢出(曾经的攻与防的焦点)
心脏滴血、想哭勒索软件等都是利用溢出漏洞进行攻击
(2)格式化字符串溢出
代码注入:
(1)SQL注入
(2)命令注入
(3)Xpath注入
跨站脚本
跨站请求
会话管理漏洞利用
文件上传漏洞
后门可以做什么:
(1)方便下次直接进入
(2)监视用户所有行为、隐私
(3)完全控制用户主机
后门方式:
√ 系统后门
操作系统级后门:
(1)特洛伊木马程序
(2)Rootkit
(3)设备驱动
应用级后门:
(1)应用软件模块(Apache model)
(2)被篡改的应用软件
√ 脚本后门
脚本后门威胁:
(1)隐藏性强
(2)难以查找
√ 账号后门
(1)隐藏账号
(2)已知密码的正常账号
(3)超权限账号
√ 清除/改写日志:
(1)日志的清除方法
(2)日志的改写工具
√ 删除中间文件
√ 删除创建的用户
日志设置:
(1)尽可能多的信息
(2)日志时间
(3)日志空间
日志权限
日志存储:
(1)本地路径及备份方式
(2)网络存储(日志服务器)
日期时间(确定攻击的时间)
源IP(确定攻击者IP)
请求方法(部分情况下要关注post操作)
请求链接(查找链接中的特殊字符串)
状态代码(了解操作的结果)
关注超长的记录:
(1)http协议对URL长度没有限制
(2)一般网站正常情况下不需要太长的URL
关注记录中的非正常编码:
例如红色代码蠕虫攻击会形成如下记录:
关注日志请求链接中的关键字:
cmd、select、xp_cmdshell、Post等
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/121727.html
摘要:自然灾害人为因素人为因素对计算机网络的破坏,称为人对计算机网络的攻击,分为被动攻击,主动攻击,邻近攻击,内部人员攻击,分发攻击。被动攻击主要是监视公共媒体如无线电,卫星,微波和公共交换网上传送的信息。 ...
摘要:庞大的数据说明了恶意代码的网络传播行为尤为猖獗,全网计算机用户的网络安全防护意识仍待提高。查看网络安全学习资料安装木马攻击者在获取到目标系统的控制权限后,将在目标系统中安装木马,植入后门,后门程序通常具有极强的隐蔽性,很难被正常用户发现。 ...
摘要:在尚未承载关键资产以磁盘为主要信息交换方式时,以制造者心理满足作为主要动力编写的感染病毒。在时代,反病毒引擎的整个体系结构已经趋于成熟,反病毒引擎的更新维护成为安全对抗的工作主线。下图是著名的攻击组织方程式对中东最大的金融服务机构的攻击。 ...
摘要:在计算机网络发展面临重大机遇的同时,网络安全形式也日益严峻,国家政治经济文化社会国防安全及公民在网络空间的合法权益面临着风险和挑战。最早的计算机网络也被称为计算机通信网。现阶段,一个完整的计算机网络结构体系由两部分组成。 ...
阅读 2675·2021-10-08 10:04
阅读 3010·2021-09-22 15:58
阅读 1621·2019-08-30 14:17
阅读 1619·2019-08-28 18:05
阅读 1375·2019-08-26 13:33
阅读 584·2019-08-26 12:20
阅读 487·2019-08-26 12:18
阅读 3094·2019-08-26 11:59
