计算环境安全-v4课件

课程内容1安全设计与实现知识域知识子域物理与环境安全系统环境安全应用与数据安全网络和通信安全课程内容1安全设计与实现知识域知识子域物理与环境安全系统环境知识子域：系统环境安全操作系统安全 了解操作系统标识与鉴别、访问控制、权限管理、信道保护、安全审计、内存存取、文件保护等安全机制；了解安全补丁、最小化部署、远程访问控制、账户及口令策略、安全审计及其他操作系统配置要点；2知识子域：系统环境安全操作系统安全 2标识与鉴别Windows系统用户信息管理存储在注册表中，运行期锁定操作权限system，依靠系统服务进行访问身份鉴别远程鉴别SMB、LM、NTLM本地鉴别3SAM账户信息库GINALSA标识与鉴别Windows系统用户信息管理3SAM账户信息标识与鉴别Linux系统用户信息管理用户帐号文件(/etc/passwd)使用不可逆DES算法加密的用户密码散列（早期）文本格式、全局可读影子文件(/etc/shadow)存储存放用户密码散列、密码管理信息等文本格式，仅对root可读可写4#root:$1$acQMceF9:13402:0:99999:7:::标识与鉴别Linux系统用户信息管理4#root:$1$ac访问控制Windows的访问控制（ACL）访问令牌（包含SID和特权列表）仅NTFS文件系统支持，权限存储流中Linux下的访问控制（ACL）需要文件系统格式支持权限类型：读、写、执行（UGO管理机制）权限表示方式：模式位5drwxr-xr-x3rootroot1024Sep1311:58test访问控制Windows的访问控制（ACL）5drwxr-xr权限管理Windows系统特权管理用户帐户控制（UAC）标准受限访问令牌&完全访问令牌Linux系统特权管理限制对root使用，su及sudo命令Suid位：任何用户执行文件运行权限都为文件所有者组的权限6-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序权限管理Windows系统特权管理6-r-s--x--x信道保护正常信道的保护可信通路（TrustedPath）安全键（SAK）隐蔽信道保护7信道保护正常信道的保护7安全审计对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程Windows系统的安全审计Windows日志（系统、应用程序、安全）应用程序和服务日志（IIS日志等）Linux系统的安全审计连接时间日志进程统计错误日志应用程序日志8安全审计对系统中有关安全的活动进行记录、检查以及审核，一般是内存保护与文件系统保护内存保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护机制访问控制列表加密Windows(EFS、Bitlocker)Linux(eCryptfs)9内存保护与文件系统保护内存保护9操作系统安全配置安装分区设置安全补丁&最新版本官方或可靠镜像（Md5校验）最小化部署明确需要的功能和组件，不需要的服务和功能都关闭远程访问控制开放端口远程连接的限制10操作系统安全配置安装10操作系统安全配置账户策略及密码策略管理员更名并给予安全的口令好的口令特点：自己容易记、别人不好猜密码策略（避免弱口令）密码必须符合复杂性要求密码长度最小值强制密码历史……帐号锁定策略（应对暴力破解）帐户锁定时间帐户锁定阀值重置帐户锁定计数器11操作系统安全配置账户策略及密码策略11密码远程暴力破解简单但有效的攻击方式利用人性懒惰的弱点12ID:cisppsw:123456Ok,youcanlogininID:cisppsw:No,youcannotloginin112123123412345123456OK,youcanlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotloginin密码远程暴力破解简单但有效的攻击方式12ID:cispps安全审计日志设置日志项、存储空间、访问权限日志服务器其他安全设置安全增强软件（防病毒、主机入侵检测、安全加固软件等）针对操作系统特性的设置Windows关闭共享、自动播放功能Linux中默认创建文件权限等13安全审计日志设置13知识子域：系统环境安全信息收集与系统攻击理解信息收集的概念及公开渠道信息收集、网络服务信息收集的方式及防御措施；理解缓冲区溢出的基本概念及危害；理解缓冲区溢出攻击的技术原理及防御措施。14知识子域：系统环境安全信息收集与系统攻击14信息收集与情报分析信息收集的概念情报学中的一个领域互联网时代信息技术的发展使得数据大量被生产出来信息收集的作用攻击者通过信息收集获取攻击目标大概信息，为下一步攻击做准备甚至利用收集的信息直接攻击15信息收集与情报分析信息收集的概念15信息搜集和分析收集哪些信息目标系统的信息系统相关资料域名、网络拓扑、操作系统、应用软件、相关脆弱性目标系统的组织相关资料组织架构及关联组织地理位置细节电话号码、邮件等联系方式近期重大事件员工简历其他可能令攻击者感兴趣的任何信息16信息搜集和分析收集哪些信息16公开信息收集-搜索引擎快速定位某开源软件xxxx.jsp脚本存在漏洞，Google搜索“xxxx.jsp”可以找到存在此脚本的Web网站Google搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集Google搜索“.doc+website”挖掘信息隐藏信息.mdb、.ini、.txt、.old、.bak、.001……后台入口17Howtohackwebsitewithgoogle!公开信息收集-搜索引擎快速定位17Howtohackw信息收集与分析网络信息收集正常服务（如whois）系统功能Pingtracert信息信息收集服务旗标欢迎信息端口扫描TCP/IP协议指纹识别法18信息收集与分析网络信息收集18信息收集与分析的防范公开信息收集防御信息展示最小化原则，不必要的信息不要发布网络信息收集防御部署网络安全设备（IDS、防火墙等）设置安全设备应对信息收集（阻止ICMP）系统及应用信息收集防御修改默认配置（旗标、端口等）减少攻击面

19严防死守！信息收集与分析的防范公开信息收集防御19严防死守！系统攻击-缓冲区溢出缓冲区溢出攻击原理缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变缓冲区溢出的危害最大数量的漏洞类型漏洞危害等级高20国家漏洞库（CNNVD）2013年漏洞统计系统攻击-缓冲区溢出缓冲区溢出攻击原理20国家漏洞库（CNN缓冲区溢出基础-堆栈、指针、寄存器堆栈概念一段连续分配的内存空间堆栈特点后进先出堆栈生长方向与内存地址方向相反指针指针是指向内存单元的地址寄存器暂存指令、数据和位址ESP（栈顶）、EBP（栈底）、EIP（返回地址）2134H12H78H56H0108HESP栈顶(AL)(AH)34H12H78H56H0106HESP栈顶缓冲区溢出基础-堆栈、指针、寄存器堆栈概念2134H12H7缓冲区溢出简单示例程序作用：将用户输入的内容打印在屏幕上22Buffer.c#include<stdio.h>intmain(){

charname[8];printf("Pleaseinputyourname:");gets(name);printf("younameis:%s!",name);return0;}缓冲区溢出简单示例程序作用：将用户输入的内容打印在屏幕上22缓冲区溢出示例23用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误缓冲区溢出示例23用户输入内容在8位以内时候，程序正常执行用缓冲区溢出简单示例24由于返回地址已经被覆盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。当我们全部输入a时，错误指令地址为0x616161，0x61是a的ASCII编码缓冲区溢出简单示例24由于返回地址已经被覆盖，函数执行返回地程序溢出堆栈情况25nameXXXEIPXXX[cispcisp][][][]nameXXXEIPXXX[aaaaaaaa][aaaa][aaaa][aaaa]堆栈顶部堆栈底部内存底部内存顶部正常状态下的堆栈溢出状态下的堆栈程序溢出堆栈情况25name缓冲区溢出攻击过程如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统26寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设定的代码获得系统权限或破坏系统缓冲区溢出攻击过程如果可精确控制内存跳转地址，就可以执行指定缓冲区溢出的防范用户补丁防火墙开发人员编写安全代码，对输入数据进行验证使用相对安全的函数系统缓冲区不可执行技术虚拟化技术27缓冲区溢出的防范用户27知识子域：系统环境安全恶意代码防护了解恶意代码的概念及恶意代码传播的方式；理解恶意代码的预防、检测、分析、清除技术措施及相关概念；了解基于互联网的恶意代码防护概念；28知识子域：系统环境安全恶意代码防护28什么是恶意代码什么是恶意代码《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码(1994.2.18)恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。指令类型二进制代码、脚本语言、宏语言等表现形式病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等29什么是恶意代码什么是恶意代码29恶意代码传播方式文件传播感染移动介质网络传播网页、电子邮件、即时通讯、共享、漏洞软件部署逻辑炸弹预留后门文件捆绑30恶意代码传播方式文件传播30恶意代码的预防技术增强安全策略与意识减少漏洞补丁管理主机加固减轻威胁防病毒软件间谍软件检测和删除工具入侵检测/入侵防御系统防火墙路由器、应用安全设置等31恶意代码的预防技术增强安全策略与意识31恶意代码检测技术-特征码扫描工作机制：特征匹配病毒库（恶意代码特征库）扫描（特征匹配过程）优势准确(误报率低)易于管理不足效率问题（特征库不断庞大、依赖厂商）滞后（先有病毒后有特征库，需要持续更新）……32恶意代码检测技术-特征码扫描工作机制：特征匹配32恶意代码检测技术-行为检测工作机制：基于统计数据恶意代码行为有哪些行为符合度优势能检测到未知病毒不足误报率高难点：病毒不可判定原则33恶意代码检测技术-行为检测工作机制：基于统计数据33恶意代码分析技术静态分析不实际执行恶意代码，直接对二进制代码进行分析文件特性，如文件形态、版本、存储位置、长度等文件格式，如PE信息、API调用等动态分析运行恶意代码并使用监控及测试软件分析本地行为：文件读写、注册表读写等网络行为：远程访问、调用等34恶意代码分析技术静态分析34恶意代码的清除感染引导区修复/重建引导区感染文件附着型：逆向还原（从正常文件中删除恶意代码）替换型：备份还原（正常文件替换感染文件）独立文件内存退出，删除文件嵌入型更新软件或系统重置系统35恶意代码的清除感染引导区35基于互联网技术的防御恶意代码监测与预警体系蜜罐、蜜网恶意代码云查杀分布式计算36基于互联网技术的防御恶意代码监测与预警体系36知识子域：应用与数据安全应用安全威胁理解应用系统安全威胁的多样性概念；了解从不同角度对应用安全威胁的分类；Web应用体系了解应用安全体系构成及相关安全问题；理解HTTP协议工作机制及明文传输数据、弱验证、无状态等安全问题；了解WEB防火墙、网页防篡改等常见Web安全防护技术作用；37知识子域：应用与数据安全应用安全威胁37应用安全威胁应用系统的复杂性和多样性使得安全问题也呈现出多样化的特点38终端用户应用服务器数据库服务器数据库支撑服务软件应用软件应用协议应用客户端应用安全威胁应用系统的复杂性和多样性使得安全问题也呈现出多样Web应用安全WEB服务器端安全问题（支撑软件、应用程序）Web客户端（浏览器）Web协议（Http）39终端用户应用服务器数据库服务器Web应用（IIS、Apache）……应用传输协议HTTP……应用客户端浏览器（IE、Firefox）Web应用安全WEB服务器端安全问题（支撑软件、应用程序）3HTTP协议HTTP(超文本传输协议)工作机制请求响应模式HTTP请求包含三个部分（方法URL协议/版本、请求头部、请求正文）

HTTP响应包含三个部分（协议状态代码描叙、响应包头、实体包）40HTTP请求HTTP响应HTTP协议HTTP(超文本传输协议)工作机制40HTTP请HTTP协议安全问题信息泄漏（传输数据明文）弱验证（会话双方没有严格认证机制）http1.1提供摘要访问认证机制，采用MD5将用户名、密码、请求包头等进行封装，但仍然不提供对实体信息的保护缺乏状态跟踪（请求响应机制决定http是一个无状态协议）Session解决方案带来的安全问题41HTTP协议安全问题信息泄漏（传输数据明文）41Web服务端软件安全问题服务支撑软件安全问软件自身安全漏洞例：IIS5.0超长URL拒绝服务漏洞例：Unicode解码漏洞软件配置缺陷默认账号、口令不安全的配置例：IIS配置允许远程写入应用软件安全问题42Web服务端软件安全问题服务支撑软件安全问42Web安全防护技术Web防火墙工作在应用层基本功能审计并拦截HTTP数据流Web应用访问控制Web应用加固网页防篡改监控Web服务器上的页面文件，防止被篡改机制备份文件对比、摘要文件对比、删改操作触发、系统底层过滤43Web安全防护技术Web防火墙43知识子域：应用与数据安全针对Web应用的攻击理解SQL注入攻击的原理及危害了解跨站脚本安全问题的原理及危害；了解失效的验证和会话管理、不安全对象直接引用、跨站请求伪造、不安全配置管理、不安全密码存储、错误的访问控制、传输保护不足、网址重定向、异常处理、拒绝服务攻击等针对WEB的攻击方式；44知识子域：应用与数据安全针对Web应用的攻击44典型注入攻击-SQL注入原理：程序没有对用户输入数据的合法性进行判断，使攻击者可以绕过应用程序限制，构造一段SQL语句并传递到数据库中，实现对数据库的操作示例45adminABCDEFG!Select*fromtablewhereuser=‘admin’andpwd=‘ABCDEFG!’;Select*fromtablewhereuser=‘admin’andpwd=‘123’or‘1=1’admin123’or‘1=1由于密码的输入方式，使得查询语句返回值永远为True，因此通过验证！典型注入攻击-SQL注入原理：程序没有对用户输入数据的合法性SQL注入攻击可以传递到数据库的数据都是攻击对象示例http:///showdetail.asp?id=49’And(updateusersetpasswd=‘123’whereusername=‘admin’);--Select*from表名where字段=’49’And(updateusersetpasswd=‘123’whereusername=‘admin’);46非法的SQL语句被传递到数据库中执行！SQL注入攻击可以传递到数据库的数据都是攻击对象46非法的SSQL注入的危害数据库信息收集数据检索操作数据库增加数据删除数据更改数据操作系统借助数据库某些功能（例如：SQLServer的内置存储过程XP_CMDShell）47SQL注入的危害数据库信息收集47SQL注入的防御防御的对象：所有外部传入数据用户的输入提交的URL请求中的参数部分从cookie中得到的数据其他系统传入的数据防御的方法白名单：限制传递数据的格式黑名单：过滤过滤特殊字串：update、insert、delete等开发时过滤特殊字符：单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符部署防SQL注入系统或脚本48SQL注入的防御防御的对象：所有外部传入数据48针对Web应用的攻击-跨站脚本原理由于程序没有对用户提交的变量中的HTML代码进行过滤或转换，使得脚本可被执行，攻击者可以利用用户和服务器之间的信任关系实现恶意攻击危害敏感信息泄露、账号劫持、Cookie欺骗、拒绝服务、钓鱼等防范不允许HTML中脚本运行对所有脚本进行严格过滤49针对Web应用的攻击-跨站脚本原理49电子邮件安全POP3/SMTP协议工作机制简单的请求响应模式安全问题信息泄漏（用户帐号密码、邮件内容）身份验证不足（社会工程学攻击、垃圾邮件）安全解决服务器端安全邮件协议使用SSL保护会话安全策略客户端50电子邮件安全POP3/SMTP协议工作机制50其他互联网应用安全远程接入域名系统即时通信51其他互联网应用安全远程接入51数据库安全措施用户标识与鉴别授权与访问控制数据加密安全审计……52数据库安全措施用户标识与鉴别52数据库安全防护检查、监控、审计53数据库安全防护检查、监控、审计53数据库安全防护-构建深度防御体系安全机制标识与鉴别、访问控制、传输加密、审计等安全策略密码策略、备份策略等54DBSQL请求用户标识与鉴别DBMS存取控制数据加密审计追踪各种应用安全边界查询引擎DBMS选件事务引擎数据库安全防护-构建深度防御体系安全机制54DBSQL用户标数据库安全防护-安全特性检查数据库系统漏洞数据库配置缺陷55知识库检测引擎服务扫描渗透测试安全审计漏洞利用审计报告检测人员策略专家配置检测策略扫描数据库服务外部渗透性测试进行全面的安全审计扫描分析审计结果，设计漏洞利用方式生成一份详细的审计报告制定检测策略从策略库中选择检测策略数据库安全防护-安全特性检查数据库系统漏洞55知识库检测引擎数据库安全特性检查安全配置补丁协议（端口、传输协议）账号用户名及密码口令策略权限存储过程触发器备份56数据库安全特性检查安全配置56数据库安全防护-运行监控入侵检测数据库审计57数据库安全防护-运行监控入侵检测57课程内容58安全设计与实现知识域知识子域物理与环境安全系统环境安全应用与数据安全网络和通信安全课程内容1安全设计与实现知识域知识子域物理与环境安全系统环境知识子域：系统环境安全操作系统安全 了解操作系统标识与鉴别、访问控制、权限管理、信道保护、安全审计、内存存取、文件保护等安全机制；了解安全补丁、最小化部署、远程访问控制、账户及口令策略、安全审计及其他操作系统配置要点；59知识子域：系统环境安全操作系统安全 2标识与鉴别Windows系统用户信息管理存储在注册表中，运行期锁定操作权限system，依靠系统服务进行访问身份鉴别远程鉴别SMB、LM、NTLM本地鉴别60SAM账户信息库GINALSA标识与鉴别Windows系统用户信息管理3SAM账户信息标识与鉴别Linux系统用户信息管理用户帐号文件(/etc/passwd)使用不可逆DES算法加密的用户密码散列（早期）文本格式、全局可读影子文件(/etc/shadow)存储存放用户密码散列、密码管理信息等文本格式，仅对root可读可写61#root:$1$acQMceF9:13402:0:99999:7:::标识与鉴别Linux系统用户信息管理4#root:$1$ac访问控制Windows的访问控制（ACL）访问令牌（包含SID和特权列表）仅NTFS文件系统支持，权限存储流中Linux下的访问控制（ACL）需要文件系统格式支持权限类型：读、写、执行（UGO管理机制）权限表示方式：模式位62drwxr-xr-x3rootroot1024Sep1311:58test访问控制Windows的访问控制（ACL）5drwxr-xr权限管理Windows系统特权管理用户帐户控制（UAC）标准受限访问令牌&完全访问令牌Linux系统特权管理限制对root使用，su及sudo命令Suid位：任何用户执行文件运行权限都为文件所有者组的权限63-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序权限管理Windows系统特权管理6-r-s--x--x信道保护正常信道的保护可信通路（TrustedPath）安全键（SAK）隐蔽信道保护64信道保护正常信道的保护7安全审计对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程Windows系统的安全审计Windows日志（系统、应用程序、安全）应用程序和服务日志（IIS日志等）Linux系统的安全审计连接时间日志进程统计错误日志应用程序日志65安全审计对系统中有关安全的活动进行记录、检查以及审核，一般是内存保护与文件系统保护内存保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护机制访问控制列表加密Windows(EFS、Bitlocker)Linux(eCryptfs)66内存保护与文件系统保护内存保护9操作系统安全配置安装分区设置安全补丁&最新版本官方或可靠镜像（Md5校验）最小化部署明确需要的功能和组件，不需要的服务和功能都关闭远程访问控制开放端口远程连接的限制67操作系统安全配置安装10操作系统安全配置账户策略及密码策略管理员更名并给予安全的口令好的口令特点：自己容易记、别人不好猜密码策略（避免弱口令）密码必须符合复杂性要求密码长度最小值强制密码历史……帐号锁定策略（应对暴力破解）帐户锁定时间帐户锁定阀值重置帐户锁定计数器68操作系统安全配置账户策略及密码策略11密码远程暴力破解简单但有效的攻击方式利用人性懒惰的弱点69ID:cisppsw:123456Ok,youcanlogininID:cisppsw:No,youcannotloginin112123123412345123456OK,youcanlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotloginin密码远程暴力破解简单但有效的攻击方式12ID:cispps安全审计日志设置日志项、存储空间、访问权限日志服务器其他安全设置安全增强软件（防病毒、主机入侵检测、安全加固软件等）针对操作系统特性的设置Windows关闭共享、自动播放功能Linux中默认创建文件权限等70安全审计日志设置13知识子域：系统环境安全信息收集与系统攻击理解信息收集的概念及公开渠道信息收集、网络服务信息收集的方式及防御措施；理解缓冲区溢出的基本概念及危害；理解缓冲区溢出攻击的技术原理及防御措施。71知识子域：系统环境安全信息收集与系统攻击14信息收集与情报分析信息收集的概念情报学中的一个领域互联网时代信息技术的发展使得数据大量被生产出来信息收集的作用攻击者通过信息收集获取攻击目标大概信息，为下一步攻击做准备甚至利用收集的信息直接攻击72信息收集与情报分析信息收集的概念15信息搜集和分析收集哪些信息目标系统的信息系统相关资料域名、网络拓扑、操作系统、应用软件、相关脆弱性目标系统的组织相关资料组织架构及关联组织地理位置细节电话号码、邮件等联系方式近期重大事件员工简历其他可能令攻击者感兴趣的任何信息73信息搜集和分析收集哪些信息16公开信息收集-搜索引擎快速定位某开源软件xxxx.jsp脚本存在漏洞，Google搜索“xxxx.jsp”可以找到存在此脚本的Web网站Google搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集Google搜索“.doc+website”挖掘信息隐藏信息.mdb、.ini、.txt、.old、.bak、.001……后台入口74Howtohackwebsitewithgoogle!公开信息收集-搜索引擎快速定位17Howtohackw信息收集与分析网络信息收集正常服务（如whois）系统功能Pingtracert信息信息收集服务旗标欢迎信息端口扫描TCP/IP协议指纹识别法75信息收集与分析网络信息收集18信息收集与分析的防范公开信息收集防御信息展示最小化原则，不必要的信息不要发布网络信息收集防御部署网络安全设备（IDS、防火墙等）设置安全设备应对信息收集（阻止ICMP）系统及应用信息收集防御修改默认配置（旗标、端口等）减少攻击面

76严防死守！信息收集与分析的防范公开信息收集防御19严防死守！系统攻击-缓冲区溢出缓冲区溢出攻击原理缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变缓冲区溢出的危害最大数量的漏洞类型漏洞危害等级高77国家漏洞库（CNNVD）2013年漏洞统计系统攻击-缓冲区溢出缓冲区溢出攻击原理20国家漏洞库（CNN缓冲区溢出基础-堆栈、指针、寄存器堆栈概念一段连续分配的内存空间堆栈特点后进先出堆栈生长方向与内存地址方向相反指针指针是指向内存单元的地址寄存器暂存指令、数据和位址ESP（栈顶）、EBP（栈底）、EIP（返回地址）7834H12H78H56H0108HESP栈顶(AL)(AH)34H12H78H56H0106HESP栈顶缓冲区溢出基础-堆栈、指针、寄存器堆栈概念2134H12H7缓冲区溢出简单示例程序作用：将用户输入的内容打印在屏幕上79Buffer.c#include<stdio.h>intmain(){

charname[8];printf("Pleaseinputyourname:");gets(name);printf("younameis:%s!",name);return0;}缓冲区溢出简单示例程序作用：将用户输入的内容打印在屏幕上22缓冲区溢出示例80用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误缓冲区溢出示例23用户输入内容在8位以内时候，程序正常执行用缓冲区溢出简单示例81由于返回地址已经被覆盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。当我们全部输入a时，错误指令地址为0x616161，0x61是a的ASCII编码缓冲区溢出简单示例24由于返回地址已经被覆盖，函数执行返回地程序溢出堆栈情况82nameXXXEIPXXX[cispcisp][][][]nameXXXEIPXXX[aaaaaaaa][aaaa][aaaa][aaaa]堆栈顶部堆栈底部内存底部内存顶部正常状态下的堆栈溢出状态下的堆栈程序溢出堆栈情况25name缓冲区溢出攻击过程如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统83寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设定的代码获得系统权限或破坏系统缓冲区溢出攻击过程如果可精确控制内存跳转地址，就可以执行指定缓冲区溢出的防范用户补丁防火墙开发人员编写安全代码，对输入数据进行验证使用相对安全的函数系统缓冲区不可执行技术虚拟化技术84缓冲区溢出的防范用户27知识子域：系统环境安全恶意代码防护了解恶意代码的概念及恶意代码传播的方式；理解恶意代码的预防、检测、分析、清除技术措施及相关概念；了解基于互联网的恶意代码防护概念；85知识子域：系统环境安全恶意代码防护28什么是恶意代码什么是恶意代码《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码(1994.2.18)恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。指令类型二进制代码、脚本语言、宏语言等表现形式病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等86什么是恶意代码什么是恶意代码29恶意代码传播方式文件传播感染移动介质网络传播网页、电子邮件、即时通讯、共享、漏洞软件部署逻辑炸弹预留后门文件捆绑87恶意代码传播方式文件传播30恶意代码的预防技术增强安全策略与意识减少漏洞补丁管理主机加固减轻威胁防病毒软件间谍软件检测和删除工具入侵检测/入侵防御系统防火墙路由器、应用安全设置等88恶意代码的预防技术增强安全策略与意识31恶意代码检测技术-特征码扫描工作机制：特征匹配病毒库（恶意代码特征库）扫描（特征匹配过程）优势准确(误报率低)易于管理不足效率问题（特征库不断庞大、依赖厂商）滞后（先有病毒后有特征库，需要持续更新）……89恶意代码检测技术-特征码扫描工作机制：特征匹配32恶意代码检测技术-行为检测工作机制：基于统计数据恶意代码行为有哪些行为符合度优势能检测到未知病毒不足误报率高难点：病毒不可判定原则90恶意代码检测技术-行为检测工作机制：基于统计数据33恶意代码分析技术静态分析不实际执行恶意代码，直接对二进制代码进行分析文件特性，如文件形态、版本、存储位置、长度等文件格式，如PE信息、API调用等动态分析运行恶意代码并使用监控及测试软件分析本地行为：文件读写、注册表读写等网络行为：远程访问、调用等91恶意代码分析技术静态分析34恶意代码的清除感染引导区修复/重建引导区感染文件附着型：逆向还原（从正常文件中删除恶意代码）替换型：备份还原（正常文件替换感染文件）独立文件内存退出，删除文件嵌入型更新软件或系统重置系统92恶意代码的清除感染引导区35基于互联网技术的防御恶意代码监测与预警体系蜜罐、蜜网恶意代码云查杀分布式计算93基于互联网技术的防御恶意代码监测与预警体系36知识子域：应用与数据安全应用安全威胁理解应用系统安全威胁的多样性概念；了解从不同角度对应用安全威胁的分类；Web应用体系了解应用安全体系构成及相关安全问题；理解HTTP协议工作机制及明文传输数据、弱验证、无状态等安全问题；了解WEB防火墙、网页防篡改等常见Web安全防护技术作用；94知识子域：应用与数据安全应用安全威胁37应用安全威胁应用系统的复杂性和多样性使得安全问题也呈现出多样化的特点95终端用户应用服务器数据库服务器数据库支撑服务软件应用软件应用协议应用客户端应用安全威胁应用系统的复杂性和多样性使得安全问题也呈现出多样Web应用安全WEB服务器端安全问题（支撑软件、应用程序）Web客户端（浏览器）Web协议（Http）96终端用户应用服务器数据库服务器Web应用（IIS、Apache）……应用传输协议HTTP……应用客户端浏览器（IE、Firefox）Web应用安全WEB服务器端安全问题（支撑软件、应用程序）3HTTP协议HTTP(超文本传输协议)工作机制请求响应模式HTTP请求包含三个部分（方法URL协议/版本、请求头部、请求正文）

HTTP响应包含三个部分（协议状态代码描叙、响应包头、实体包）97HTTP请求HTTP响应HTTP协议HTTP(超文本传输协议)工作机制40HTTP请HTTP协议安全问题信息泄漏（传输数据明文）弱验证（会话双方没有严格认证机制）http1.1提供摘要访问认证机制，采用MD5将用户名、密码、请求包头等进行封装，但仍然不提供对实体信息的保护缺乏状态跟踪（请求响应机制决定http是一个无状态协议）Session解决方案带来的安全问题98HTTP协议安全问题信息泄漏（传输数据明文）41Web服务端软件安全问题服务支撑软件安全问软件自身安全漏洞例：IIS5.0超长URL拒绝服务漏洞例：Unicode解码漏洞软件配置缺陷默认账号、口令不安全的配置例：IIS配置允许远程写入应用软件安全问题99Web服务端软件安全问题服务支撑软件安全问42Web安全防护技术Web防火墙工作在应用层基本功能审计并拦截HTTP数据流Web应用访问控制Web应用加固网页防篡改监控Web服务器上的页面文件，防止被篡改机制备份文件对比、摘要文件对比、删改操作触发、系统底层过滤100Web安全防护技术Web防火墙43知识子域：应用与数据安全针对Web应用的攻击理解SQL注入攻击的原理及危害了解跨站脚本安全问题的原理及危害；了解失效的验证和会话管理、不安全对象直接引用、跨站请求伪造、不安全配置管理、不安全密码存储、错误的访问控制、传输保护不足、网址重定向、异常处理、拒绝服务攻击等针对WEB的攻击方式；101知识子域：应用与数据安全针对Web应用的攻击44典型注入攻击-SQL注入原理：程序没有对用户输入数据的合法性进行判断，使攻击者可以绕过应用程序限制，构造一段SQL语句并传递到数据库中，实现对数据库的操作示例102adminABCDEFG!Select*fromtab