黑客流行攻击技术剖析及防御
作者:郝永清
www.gooann.com
主要内容
一、溢出攻击
二、挂马攻击
三、会话劫持
四、网银攻击
五、手机攻击
六、COOKIES欺骗
七、目录遍历
八、注入攻击
九、跨站攻击
十、dos/ddos攻击
www.gooann.com
溢出攻击
www.gooann.com
原理
缓存溢出攻击利用编写不够严谨的程序,通
过向程序的缓存区写入超过预定长度的数据,造
成缓存的溢出,从而破坏程序的堆栈,导致程序
执行流程的改变。
www.gooann.com
危害
寻找程序漏洞
编制缓存溢出
程序
精确控制跳转
地址
执行设定的代
码
获得系统权限
或破坏系统
www.gooann.com
缓冲区溢出防御
– 使用安全的字符串操作函数
– 编写安全代码
– 输入数据验证(过滤)
– 指针完整性检查
– 第三方软件防御
www.gooann.com
挂马攻击
www.gooann.com
框架
财政支出绩效评价指标框架幼儿园园本课程框架学校德育工作框架世界古代史知识框架质量保证体系框架图
嵌入式网络挂马
•
www.gooann.com
js调用型网页挂马
•
www.gooann.com
图片伪装挂马
•
•
•
•
www.gooann.com
网络钓鱼挂马
• www.taobao.diaoyu.com
www.gooann.com
伪装挂马
•
•
•
•
•
•
•
•
•
•
www.gooann.com
挂马防御
• 更改系统环境变量(禁用VBS.JS等)
• 养成看网页原码习惯
• 禁用危险的端口及服务
• 更新补丁
• 不要被诱惑
• 注意内部安全:如移动存储设备
• WEB加固:能写不能执行,能执行不能写入
www.gooann.com
会话劫持
www.gooann.com
中间人攻击
• 利用ARP欺骗
• DNS欺骗
www.gooann.com
注射式攻击
• 注入式攻击中,可以伪造IP包头,linux:socket就
可以直接添加伪IP头,但在WINDOWS中,需要用
wincap,libnet驱动
www.gooann.com
危害
1 .某航空票务网站将用户Session ID包含在URL中:
http://example.com/sale/saleitems;sessionid=2P0OC2JDPX
M0OQSNDLPSKHCJUN2JV?dest=Hawaii一位用户为了让她
朋友看到这个促销航班的内容,将上述链接发送给朋友,
导致他人可以看到她的会话内容。
2.一位用户在公用电脑上没有登出他访问的网站,导致下一
位使用者可以看到他的网站会话内容。
3.登录页面没有进行加密,攻击者通过截取网络包,轻易发
现用户登录信息。
www.gooann.com
会话劫持防御
• 用户密码强度(普通:6字符以上;重要:8字符以上;极
其重要:使用多种验证方式)
• 不使用简单或可预期的密码恢复问题
• 登录出错时不给过多提示
• 登录页面需要加密
• 对多次登录失败的帐号进行短时锁定
• 验证成功后更换Session ID
• 使用128位以上有足够随机性的Session ID
• 设置会话闲置超时(可选会话绝对超时)
• 保护Cookie(Secure flag/HTTPOnlyflag)
• 不在URL中显示Session ID
www.gooann.com
网银攻击
www.gooann.com
• 盗号:网银大盗
• 网络钓鱼:假的银行网站
• 本地HOSTS文件劫持
• 证书劫持
• 在线劫持
• U盾克隆
www.gooann.com
手机攻击
www.gooann.com
• SIM卡复制
• GSM劫持
• 电话攻击
• 短信攻击
• 病毒攻击
www.gooann.com
COOKIES欺骗
www.gooann.com
• 通过盗取、修改、伪造cookies的内容
来达到欺骗WEB系统,并得到相应权
限或者进行相应权限操作的一种攻击
方式。
www.gooann.com
www.gooann.com
www.gooann.com
COOKIES欺骗防御
• 不在cookies中存放敏感信息;
• 严格保护数据库不泄露;
• 使用单一独特功能的账户进行日常维护,不使用、
少使用最高权限帐户;
• 严格堵住脚本系统中可能提交盗取cookies的代码;
• 使用session和cookies双重验证;
• 使用随机数实现防御。
www.gooann.com
目录遍历
www.gooann.com
• 百度,谷哥搜索技术
• 如:index of /;index of /
ppt
关于艾滋病ppt课件精益管理ppt下载地图下载ppt可编辑假如ppt教学课件下载triz基础知识ppt
;pay_boardlimited.asp
www.gooann.com
www.gooann.com
www.gooann.com
SQL Injection
www.gooann.com
程序员在编写代码的时候,没有对用户输入数据
的合法性进行判断,使应用程序存在安全隐患。
用户可以提交一段数据库查询代码,根据程序返
回的结果,获得某些他想得知的数据或进行数据
库操作,
www.gooann.com
• 判断:and 1=1 正常 ;and 1=2 页面错误
• 构造SQl语句:
如 and (select count(*) from admin)>0
www.gooann.com
自动化注入工具
• AD
• NBSI
• HDSI
• DOMAIN
• PANGOLIN
• 管中
www.gooann.com
注入防御
编写过滤脚本文件:
过滤关键字,防:POST,GET,COOKIE提交
调用该防注入脚本
www.gooann.com
跨站攻击
www.gooann.com
定义
跨站脚本(CSS - Cross Site Scripting)
在远程Web页面的HTML代码中插入的具有恶意目的的
数据,用户认为该页面是可信的,但是当浏览器下载
该页面时,嵌入其中的脚本将被解释执行
-跨站脚本成因
CGI程序没有对用户提交的变量中的HTML代码进行过滤
或转换。
这种攻击利用的是用户和服务器之间的信任关系,以
及Web站点没有使用有效的输入输出验证来拒绝嵌入的
脚本。
www.gooann.com
危害
1. 获取其他用户Cookie中的敏感数据
2. 屏蔽页面特定信息
3. 伪造页面信息
4. 拒绝服务攻击
5. 突破外网内网不同安全设置
6. 与其它漏洞结合
www.gooann.com
www.gooann.com
www.gooann.com
Dos/ddos攻击
• 拒绝服务/分布式拒服务攻击
• 利用TCP三次握手
www.gooann.com
www.gooann.com
攻击方法
• 流量攻击
• 语义攻击
• 新型智能攻击:穿墙
www.gooann.com
防御
• 流量牵引
• CDN
• 专业抗DDOS设备