信息安全-常见的系统漏洞

系统漏洞林豆豆李一鸣苏现实江启智

系统漏洞是什么?What

isSystemvulnerabilities?01Thefistchapter系统漏洞是什么?www.islide.cc3

系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。常见的系统漏洞及其危害Common

system

vulnerabilities

andits

hazards

02Thesecendchapter常见的系统漏洞及其危害www.islide.cc51、SQL注入漏洞2、跨站脚本漏洞3、弱口令漏洞4、框架钓鱼漏洞

5、HTTP报头追踪漏洞6、文件上传漏洞7、应用程序测试脚本泄露

8、私有IP地址泄露漏洞9、未加密登录请求1.SQL注入漏洞www.islide.cc6简称注入攻击，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。设计程序时忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令，从而使数据库受到攻击，可能导致数据被窃取更改删除网站被嵌入恶意代码、被植入后门程序等危害。SQL注入漏洞的危害：www.islide.cc7（1）数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。作为数据的存储中心，数据库里往往保存着各类的隐私信息，SQL注入攻击能导致这些隐私信息透明于攻击者。（2）网页篡改：通过操作数据库对特定网页进行篡改。（3）数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被篡改。（4）服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。（5）破坏硬盘数据，瘫痪全系统。SQL注入漏洞的解决方法：www.islide.cc8解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。（1）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。（2）对进入数据库的特殊字符（'"\<>&*等）进行转义处理，或编码转换

（3）确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须为int型。

（4）数据长度应该严格规定，在一定程度上防止比较长的SQL注入语句无法正确执行SQL注入漏洞的解决方法：www.islide.cc9（5）网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。（6）严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

（7）避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

（8）在网站发布之前建议使用一些专业的SQL注入检测工具进行检测，及时修补这些SQL注入漏洞。

2.跨站脚本漏洞www.islide.cc10

通常发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。

XSS攻击使用到的技术主要为HTML和Javascript，也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害，但是它借助网站进行传播，使网站的使用用户受到攻击，导致网站用户帐号被窃取，从而对网站也产生了较严重的危害。XSS的危害：www.islide.cc11（1）钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼JavaScript以监控目标网站的表单输入，甚至发起基于DHTML更高级的钓鱼攻击方式。（2）网站挂马：跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者弹出恶意网站窗口等方式都可以进行挂马攻击。（3）身份盗用：Cookie是用户对于特定网站的身份验证标志，XSS可以盗取到用户的Cookie，从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取，将会对网站引发巨大的危害。

XSS的危害：www.islide.cc12（4）盗取网站用户信息：当能够窃取到用户Cookie从而获取到用户身份使，攻击者可以获取到用户对网站的操作权限，从而查看用户隐私信息。（5）垃圾信息发送：比如在SNS社区中，利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。（6）劫持用户Web行为：一些高级的XSS攻击甚至可以劫持用户的Web行为，监视用户的浏览历史，发送与接收的数据等等。（7）XSS蠕虫：XSS蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。XSS的解决方法：www.islide.cc13（1）与SQL注入防护的建议一样，假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等。（2）不仅要验证数据的类型，还要验证其格式、长度、范围和内容。（3）不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。XSS的解决方法：www.islide.cc14（4）对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。（5）在发布应用程序之前测试所有已知的威胁。3.弱口令漏洞www.islide.cc15

弱口令没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。设置密码通常遵循原则：www.islide.cc16（1）不使用空口令或系统缺省的口令，这些口令众所周之，为典型的弱口令。（2）口令长度不小于8个字符。（3）口令不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：tzf.tzf.）。（4）口令应该为以下四类字符的组合，大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。设置密码通常遵循原则：www.islide.cc17（5）口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息，以及字典中的单词。（6）口令不应该为用数字或符号代替某些字母的单词。（7）口令应该易记且可以快速输入，防止他人从你身后很容易看到你的输入。（8）至少90天内更换一次口令，防止未被发现的入侵者继续使用该口令。4.框架钓鱼漏洞www.islide.cc18框架注入攻击是针对Internet

Explorer

5、Internet

Explorer

6、与

Internet

Explorer

7攻击的一种。这种攻击导致Internet

Explorer不检查结果框架的目的网站，因而允许任意代码像Javascript或者VBScript跨框架存取。这种攻击也发生在代码透过多框架注入，肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。

常见的钓鱼方式www.islide.cc19(1)、黑客通过钓鱼网站设下陷阱，大量收集用户个人隐私信息，贩卖个人信息或敲诈用户；

(2)、黑客通过钓鱼网站收集、记录用户网上银行账号、密码，盗窃用户的网银资金；

(3)、黑客假冒网上购物、在线支付网站、欺骗用户直接将钱打入黑客账户；

常见的钓鱼方式www.islide.cc20(4)、通过假冒产品和广告宣传获取用户信任，骗取用户钱财；

(5)、恶意团购网站或购物网站，假借“限时抢购”、“秒杀”、“团购”等，让用户不假思索地提供个人信息和银行账号，这些黑心网站主可直接获取用户的个人资料和网银账号密码信息，进而获利。防范方式www.islide.cc211.查验“可信网站”网民在网络交易时应养成查看网站身份信息的使用习惯，企业也要安装第三方身份诚信标识，加强对消费者的保护。2.核对网站域名假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处。比较网站内容假冒网站上的字体样式不一致，并且模糊不清。仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开。4.查看安全证书大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“https”打头的，如果发现不是“https”开头，应谨慎对待。

案例分析CaseAnalyse03Thethirdchapter案例分析www.islide.cc23

2016年4月，南京新街口派出所接到市民杨女士报警称，自己购买了一张面额为1000元的中石化加油充值卡，为在网上激活，通过网络搜索，找到了一个“中石化加油卡充值”网站。根据网站提示，杨女士输入了自己的加油卡号、联系方式、充值卡账号和密码。然而，最后网站却提示充值未成功。当时，杨女士并未在意，以为是网络问题，便打算改天再试。报警当天，杨女士正好去加油站，便索性去柜台充值，然而工作人员却告知充值卡已经使用过。杨女士觉得事有蹊跷，便立即报警。事件简要概述：www.islide.cc24警方调查发现，杨女士登录的网站实为钓鱼网站，页面与正规的中石化加油卡充值页面非常相似，但仔细看会发现，其网址并非正确的官网域名。在介入案件调查后，警方和360公司深度合作，对钓鱼网站进行了追踪溯源，通过全省案件库进行比对，依靠猎网平台的大数据线索串并技术，南京网安成功锁定了一名湖南籍犯罪嫌疑人刘某和其他人员的虚拟身份及活动地，并立即前往湖南常德市开展甄别工作。5月12日，在当地警方配合下，南京网安于常德一处宾馆内，抓获了刘某等3人。被抓当时，一名犯罪嫌疑人正在操作钓鱼网站骗取受害人的充值卡账号和密码。根据3人的口供，警方又随即在刘氏兄弟家中，抓获了刘某的弟弟。靠钓鱼网站四人半年骗取百万事件简要概述：www.islide.cc25

南京网安介绍，经审查，刘氏兄弟去年11月在网络聊天时学会了使用钓鱼网站行骗，便花钱找人做了冒充中石化加油充值的钓鱼网站。他们先在网上购买很多空的加油卡，从“钓鱼网站”获取充值卡账号和密码后，便立即将钱充入自己掌握的加油卡中。当每张卡内积累到5000元左右时，他们便通过网络将加油卡出售。通过这样的诈骗手法，截至案发，刘氏兄弟已经销售加油卡获利50余万元。而在两人的暂住地，警方查获了400多张加油卡，里面的金额高达90多万元。警方表示，目前，该诈骗团伙4名嫌疑人均已