当前位置:文档之家› 基于Fuzzing的文件格式漏洞挖掘技术_唐彰国

基于Fuzzing的文件格式漏洞挖掘技术_唐彰国

基于Fuzzing的文件格式漏洞挖掘技术_唐彰国
基于Fuzzing的文件格式漏洞挖掘技术_唐彰国

—151—

基于Fuzzing 的文件格式漏洞挖掘技术

唐彰国,钟明全,李焕洲,张 健

(四川师范大学网络与通信技术研究所,成都 610066)

摘 要:软件漏洞挖掘已成为信息安全研究的一个热点,基于此,分析现有漏洞挖掘工具的不足,阐述基于Fuzzing 的漏洞挖掘与分析的功能需求,根据文件格式结构化存储的特征,给出一种启发式的畸形数据的构造方法,设计并实现文件型漏洞智能挖掘与分析系统,给出软件结构、运行机制和关键技术。实例测试结果表明,该系统有效提高了文件漏洞挖掘的效率和智能化水平。 关键词:Fuzzing 技术;文件格式漏洞;漏洞挖掘

File Format Vulnerability Exploiting Technique Based on Fuzzing

TANG Zhang-guo, ZHONG Ming-quan, LI Huan-zhou, ZHANG Jian

(Institute of Computer Network and Communication Technology, Sichuan Normal University, Chengdu 610066)

【Abstract 】The exploiting of the software vulnerabilities is a hotspot of information security research. The shortage of current vulnerability exploiting implements is analyzed. The function demands of vulnerability exploiting and analysis based on Fuzzing are emphasized. A heuristic construction of abnormality data based on structural storage characteristic is proposed. The file format vulnerability intelligent exploiting and analysis system are designed and developed. The system’s software structure and run mechanism and critical technology are given. Experimental result proves its effectiveness and intelligence.

【Key words 】Fuzzing technology; file format vulnerability; vulnerability exploiting

计 算 机 工 程Computer Engineering 第36卷 第16期

Vol.36 No.16 2010年8月

August 2010

·安全技术·

文章编号:1000—3428(2010)16—0151—03

文献标识码:A

中图分类号:TP391

1 概述

近年来,利用软件漏洞尤其是文件型漏洞在未授权的情况下对计算机系统进行访问或破坏的现象越来越严重。文件型漏洞是指应用程序处理不同格式的文件时由于设计上的缺陷,可能演变成为对系统产生威胁的安全漏洞。作为隐患发现技术之一的漏洞挖掘与分析技术,越来越受到重视。

Fuzzing 是一种有效的自动化漏洞挖掘技术。其原理是通过向软件外部接口发送一些随机的组合数据和代码,致使目标软件发生异常,进而发现漏洞。由于这些数据和代码不需要理解和满足目标软件的上下文逻辑关系,因此采用Fuzzing 技术能够实现漏洞挖掘与分析的自动化[1-2]。传统文件格式的Fuzzing 工具(如FileFuzz)存在的不足主要表现为挖掘效率低、异常信息少、无相关分析、依赖第三方样本等。尤其是随着文档规模的增大、文件安全检测以及过滤机制的完善,对文件格式不公开的复合文档通过构造随机数据进行暴力Fuzzing 测试的效率和成功率都相当低[3]。因此,如何自行构造“个性化”的样本文件、改进畸形数据的构造方法,以及构造能够穿透软件过滤机制的测试文件,使其到达程序执行的代码区并引发程序的出错和异常处理,是目前解决文件格式漏洞挖掘效率低下和提升挖掘智能化水平的关键。

2 文件格式漏洞挖掘的需求分析

传统漏洞挖掘和分析技术过度依赖于个人的经验和直觉。漏洞研究要走向自动化和智能化一个关键步骤在于正确分析系统的安全需求,用安全需求来指明漏洞挖掘和分析的方向。

2.1

基于Fuzzing 的文件格式漏洞挖掘流程

如图1所示,样本文件可以是文本文件、二进制文件或其他非公开格式的复合文档。已知的高风险文件有注册表等

系统缺省文件、媒体文件、办公文档和配置文件等。一种类型文件可能存在多个Fuzzing 目标,如二进制文件可分别测试其头部区和数据区。通过对文件进行广度和深度2个层面的二进制变异形成测试数据并供目标程序执行,同时监视异常,根据异常时输出的信息进行分析并确定其可利用性。

图1 Fuzzing 流程

2.2 功能需求

根据研究目的分类主要有挖掘未知漏洞、分析已知漏洞和精确触发特定漏洞。为有效满足上述目的,必须支持“个性化”的定向挖掘方案。

(1)构造样本文件:提供多样化的样本文件构造方式,样

基金项目:四川省应用基础研究基金资助项目(07JY029-011);四川省教育厅基金资助项目(08ZA043);四川师范大学科学研究基金资助项目

作者简介:唐彰国(1978-),男,讲师、硕士,主研方向:信息安全;钟明全,讲师、硕士;李焕洲,副教授、博士;张 健,讲师、 博士

收稿日期:2010-03-18 E-mail :tangzhangguo@https://www.doczj.com/doc/ab3292451.html,

—152

—本文件可以为任意格式。1)选取第三方样本:可选取任意格式文件进行测试,以挖掘未知漏洞为目的。2)自行构造正常格式样本:自行构造包含特定对象和内容的“个性化”样本文件,以挖掘、分析特定类型漏洞为目的。3)自行构造半有效格式样本:根据新近发布的漏洞描述信息,精确构造出能触发特定漏洞的POC(Proof Of Concept)样本,以精确触发特定漏洞为目的。

(2)文件结构分析及样本对象定位:为改善Fuzzing 构造畸形数据的盲目性,需要在Fuzzing 之前输出样本文件的结构信息,如根对象、目录结构、流结构、页面集等,以及各种对象如文本、表格、图片等的相对位置,从而使用户可以有选择性、针对性地进行特定地址范围的Fuzzing ,缩小Fuzzing 所需的状态空间,提高挖掘效率。

(3)Fuzzing 引擎:1)生成测试文件:基于二进制修改的文件变异,覆盖该样本文件的特定部分以及保存修改变异后的文件。2)异常检测与分析:逐个把测试文件部署到应用程序中,然后进行监视,反馈异常信息并生成异常类型的判定。

(4)辅助分析功能:提供复合文档的格式介绍和历年文件型漏洞信息的查询。该功能也可作为后期人工分析的一个 向导。

3 文件格式漏洞智能挖掘与分析系统

3.1 系统架构及流程

系统的整体架构如图2所示,主要包含5个模块:构造样本文件模块,文件结构信息提取模块,启发式畸形数据构造模块,异常检测与分析模块以及辅助分析模块。其中,样本库提供各类样本文件,方便用户直接测试。素材库提供构造“个性化”样本文件所需的图片、文本等素材以及Perl 语言模版。文档库包括各类文件格式介绍、历年漏洞信息、帮助文档等。异常文件副本库保存了在Fuzzing 过程中有异常的文件作为后期重现、分析和利用漏洞的依据。

图2 系统方案的整体架构

系统有3个入口,即选择第三方样本、创建正常格式样本和创建半有效样本。运行流程如图3所示。

图3 系统运行流程

3.2 关键技术

由于各种格式差异较大,限于篇幅这里仅给出针对PDF 文件格式的技术方案。

3.2.1 样本文件构造模块

构造时须明确PDF 文件的格式、对象和逻辑结构,详见文献[4]。

(1)正常样本文件构造

PDFlib 库封装了创建PDF 的相关API 函数,在使用该库时,需要将PDFlib.lib 、PDFlib.h 、PDFlib.dll 这3个文件放在工程目录下。把这种构造方式称之为基于模板的构造。利用PDFLib 库构造PDF 样本文件的一个最简单的流程如下:

1)利用PDF_new( )新建一个PDFlib 文档对象。

2)调用PDF_begin_document( )方法开始建立PDF 文档,并调用PDF_begin_page_ext( )文档添加一个新页面。

3)调用PDF_setfont( )设置当前字体。

4)调用PDF_load_image( )等方法向PDF 文档添加内容。 5)调用PDF_end_page_ext( )和PDF_end_document( )完成页面并输出PDF 文档。

(2)半有效样本文件构造

与正常样本文件构造不同的是半有效样本文件构造主要目的是精确触发特定漏洞,因此不需要构造与特定漏洞无关的PDF 内容。为了高效和精悍,使用Perl 语言把PDF 的文件结构信息及准备填充的数据写入脚本文件中,通过perl 语言解析器生成半有效的PDF 文件。称这种方式为基于格式的内容填充构造。部分核心代码示例如下:

my $size = "\x47\x00"; //设置魔数值

my $factor = "\x00\x33\x33\x33"; //填充的畸形数据,控制EIP //的指向

my $data = "A" x 8150; //填充的无意义数据

print pdf(); //打印pdf()里面的内容

sub pdf(); //子函数,设置PDF 文件格式并装载内容 {

…//文件头、文件体、引用表和文件尾 }

3.2.2 文件结构信息提取模块

该模块主要对所选取或自行构造的PDF样本进行结构级剖析,提取重要的文档对象信息,以图表和树形结构表现出来,帮助用户精确地定位样本文件的内部结构及位置信息,为畸形数据构造模块传递启发式所需的参数。具体实现的关键步骤如下:

(1)打开PDF样本文件并读取其中的内容。

(2)替换PDF文件内容中的空字符。

(3)查找交叉引用表位置。

(4)查找所有目标对象,显示对象位置信息。

(5)查找Root和Info,遍历根对象,提取引用号和对象号,显示文档结构信息。

3.2.3 启发式的畸形数据的构造模块

本模块提供3种模式的畸形数据构造,根据变异畸形数据的范围分为文件级、结构级、功能函数级。其中后2种模式称之为启发式方法。

文件级模式支持对整个文件地址空间的任意位置、任意数据的修改,适合做无目的的暴力测试。结构级模式根据文件结构信息提取模块已经得到树状结构显示的文件目录结构和流结构、得到文件各种对象的起止位置后,基于这些结果启发式地对每个节点数据和对象数据进行随机的二进制变异。如可以针对头部区、校验区以及数据区等进行定向的Fuzzing。功能函数级模式主要用于触发新近发布的漏洞,能提供较前2种模式更精确的定位。其原理是通过控制文档中的数据来改变程序流程使之到达软件的特定功能函数模块。为了灵活性,本模式提供Perl语言模版。触发不同漏洞时可基于本模版进行二次开发,这个过程需要具备对某种文件格式的深入认识,能根据发布漏洞的描述信息,结合具体的文件格式,在一个确定的功能函数处理对象处进行二进制变异以精确触发并再现特定的漏洞。如3.2.1节中的实例代码就可用来准确触发Adobe Acrobat和Reader JBIG2图形处理堆溢出漏洞。

3.2.4 异常检测与分析模块

由于畸形数据构造模块可能会生成大量的测试文件,为了提高测试效率,该模块采用多线程方式通过Windows提供的调试接口以调试方式启动应用程序,将待测的文档作为参数传递给应用程序进程,实时接收并响应应用程序进程的调试事件,当接收的调试事件为访问异常等错误时,记录异常信息并分析找出有价值的异常,作为重现、判定及利用该异常的依据。

(1)异常信息获取:有4种方式,即可视化的异常,如错误消息、蓝屏等;事件记录,包括操作系统错误记录和应用程序错误记录;调试态API记录;返回代码。

(2)异常的类型:根据经验,比较有价值且经常出现的异常,主要有指针异常、指令非法(如除0错误)、数据访问异常、内存访问错误、系统API调用错误等。

(3)异常可利用性分析:出错时线程上下文,出错的内存地址,寄存器值和堆栈数据,当前指令和后续指令的反汇编代码,程序的返回值及其他环境变量的值。

(4)漏洞类型判定:包括栈溢出、堆溢出、整数溢出、逻辑错误(如MS06-001)、格式化字符串以及竞争条件等。

4 测试及结果分析

测试对象为一个2009年3月公布的PDF文件格式漏洞:Adobe Acrobat和Reader JBIG2图形处理堆溢出漏洞,CVE 编号为CVE-2009-0193[5]。

测试过程为:首先构造样本文件模块,通过选取素材库中的二进制图片在空白模版上构造了一个最简单的含JBIG2编码流对象的正常文档,通过文件结构信息提取模块直观地得到了该文档各种对象的结构和起止位置信息,单击JBIG2流对象所在的块后其起止位置作为参数自动传递给畸形数据构造模块,从而启发式地生成了相应数量的测试文档,导入异常检测与分析引擎后,得到了大量的出错文档。其中一份测试文档(177.pdf)是把原正常文档中0xb1处的0x30改写为0x47导致程序崩溃,获取到的异常信息如图4所示,包括了出错的内存地址、出错指令和寄存器值等信息,分析引擎将此定位为内存虚拟地址的违规访问,并且EIP寄存器中的值包含来自于用户提供的输入和内存的数据,说明堆栈中的返回地址已经被修改,这是异常可以被利用的典型特征,由此判定为堆溢出漏洞。利用avast、卡巴斯基等杀毒软件对所有的测试文档进行扫描后,显示177.pdf文档存在漏洞,并提示为相应CVE漏洞的利用代码,如图5所示。

图4 本文系统的测试结果

图5 杀毒软件报警信息

在以上测试中,本系统所捕获到异常的语句、内存位置及寄存器信息都与漏洞公告上的信息完全一致,漏洞的分析和类型的判定也与杀毒软件相同,这表明本系统具备有效的未知漏洞挖掘能力和已知漏洞的再现能力。

5 结束语

文件格式型漏洞发现的复杂性和漏洞利用的严重破坏性使得漏洞自动挖掘与分析成为了信息安全领域的一个研究热点。本文就如何有效提高文件格式漏洞挖掘的效率和智能化水平做了一些探讨。未来的工作如下:针对畸形数据构造的要求,进一步研究通用文档的自动生成方法;鉴于漏洞的可利用性目前很难形式化的描述,如何进一步提高异常信息的捕获以及异常信息的归纳、分析能力也是下一步研究的重点。

(下转第160页)

—153—

—160

— 表1 不同算法错误率比较

算法 错误率/(%)

RBF-Network 41

SVM 34 ID3 33 Winnow 68 LS-SVM 33

从表1可以看出,在常用的分类算法中,Winnow 算法

的识别率最低, LS-SVM 和ID3的识别率相当,其次是SVM 和RBF-Network 。如果能改进特征,训练多个分类器就可以提高分类的准确度,达到比较好的分类效果。

4 实验

本文使用的图像包括Dredze 收集的spam 图像和ham 图像以及来自SpamArchive 的垃圾邮件图片集,选择了其中的4 478幅图像。

先为基于RBF 核的LS-SVM 分类器确定相应的参数,将实验数据分为2个集合:训练集(40%),验证集(60%)。训练集用于训练LS-SVM 分类器,选取性能最好的参数用于最终的分类,验证集用于交叉验证,本文使用5折交叉验证。

判断一个分类算法的分类效果必须有统一的标准,通常使用误报率、漏报率、准确率、精确率等。

误报率: FP

FP Rate FP TN =+。

准确率: TP

TP Rate TP FN

=+。

精确率:TP TN

Accuracy TP TN FP FN

+=+++。

由于邮件服务的特殊性,在垃圾邮件识别中,用户可以忍受自己的收件箱中有少量垃圾邮件,但不能接受其正常邮件被过滤器误判为垃圾邮件,因此垃圾邮件检测对误报率的要求较严格,即要求在误报率很低的情况下提高检测的准确率和精确率。

对同样的特征维数,不同分类的结果会大不相同,表2是不同维数的特征分类结果的比较,其中,Area 表示ROC 曲线下的面积,曲线下的面积越大通常说明分类效果越好。

表2 不同特征的比较

特征 FP Rate TP Rate Area 128维梯度 0.003 2 0.819 4 0.913 29 64维梯度 0.018 3 0.847 8 0.923 37 32维梯度 0.019 4 0.901 8 0.928 78 128维颜色 0.119 7 0.837 0 0.858 64 64维颜色 0.146 7 0.829 1 0.841 18 32维颜色

0.138 1

0.860 3

0.861 11

从表2可以看出,特征维数越高分类准确率和精确率反

而越低,且误报率也在降低。基于垃圾邮件过滤的特点,本文选择64维梯度直方图和64维颜色直方图作为分类特征,并对提取的特征进行特征选择,用最终获得的特征训练2个分类器,对分类结果用“或(OR)”组合,最终的分类性能见图9。

图9 组合分类器ROC 曲线

从图9可以看出,分类准确度可以达到97.44%,误报率为5.29%,且此时ROC 曲线下的面积达96.079%,分类效果较好。

5 结束语

图像垃圾邮件是垃圾邮件的一个变种,在垃圾邮件中占有很大比例,但目前图像垃圾邮件的识别率不高。因此,本文使用了具有良好区分能力的特征,并用LS-SVM 算法验证其有效性。

参考文献

[1] Fumera G , Pillai I, Roli F. Spam Filtering Based on the Analysis of

Text Information Embedded into Images[J]. Journal of Machine Learning Research, 2006, 7: 2699-2720.

[2] 耿 技, 万明成, 程红蓉, 等. 基于文本区域特征的图像型垃圾

邮件过滤算法[J]. 计算机应用, 2008, 28(8): 1904-1906.

[3] Bhaskar M, Saurabh N, Manish G , et al. Detecting Image Spam

Using Visual Features and Near Duplicate Detection[C]// Proceedings of the 17th International Conference on World Wide Web. Beijing, China: [s. n.], 2008: 497-506.

[4] Biggio B, Fumera G , Pillai I, et al. Image Spam Filtering by Content

Obscuring Detection[C]//Proc. of the 4th Conference on Email and Anti-spam. California, USA: [s. n.], 2007: 2-3.

[5] Suykens J A K, Gestel T Y , Brabanter J D, et al. Least Square

Support Vector Machines[M]. Singapore: World Scientific Publishing Co., Pte. Ltd, 2002.

编辑 陈 晖

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

(上接第153页) 参考文献 [1] Oehlert P. Violating Assumptions with Fuzzing[J]. IEEE Security &

Privacy, 2005, 3(2): 58-62.

[2] 刘 坤. 结合逆向工程和Fuzz 技术的Windows 软件漏洞挖掘模

型研究[J]. 成都信息工程学院学报, 2008, 23(2): 178-181. [3] 任春钰, 舒 辉, 瞿 进. 一种改进的针对复合文档的Fuzz 测试

技术[J]. 计算机应用, 2008, 28(2): 535-537.

[4] Adobe Systems Inc. PDF Reference[EB/OL]. (2008-04-15). http://

https://www.doczj.com/doc/ab3292451.html,/devnet/pdf/pdfs/PDFReference13.pdf.

[5] CVE. CVE 安全公告[EB/OL]. (2009-03-24). https://www.doczj.com/doc/ab3292451.html,/

cve/index.html.

编辑 任吉慧

漏洞扫描实验报告

漏洞扫描实验报告

————————————————————————————————作者:————————————————————————————————日期:

南京工程学院 实验报告 题目漏洞扫描 课程名称网络与信息安全技术院(系、部、中心)康尼学院 专业网络工程 班级 K网络工程111 学生姓名赵志鹏 学号 240111638 设计地点信息楼A216 指导教师毛云贵 实验时间 2014年3月13日实验成绩

漏洞扫描 一:实验目的 1.熟悉X-Scan工具的使用方法 2.熟悉工具的使用方法 3.会使用工具查找主机漏洞 4.学会对弱口令的利用 5.了解开启主机默认共享以及在命令提示下开启服务的方法 6.通过实验了解如何提高主机的安全性 二:实验环境 Vmware虚拟机,网络教学系统 三:实验原理 一.漏洞扫描简介 漏洞扫描是一种网络安全扫描技术,它基于局域网或Internet远程检测目标网络或主机安全性。通过漏洞扫描,系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。漏洞扫描技术采用积极的、非破坏性的办法来检验系统是否含有安全漏洞。网络安全扫描技术与防火墙、安全监控系统互相配合使用,能够为网络提供很高的安全性。 漏洞扫描分为利用漏洞库的漏洞扫描和利用模拟攻击的漏洞扫描。 利用漏洞库的漏洞扫描包括:CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描和HTTP漏洞扫描等。 利用模拟攻击的漏洞扫描包括:Unicode遍历目录漏洞探测、FTP 弱口令探测、OPENRelay邮件转发漏洞探测等。 二.漏洞扫描的实现方法 (1)漏洞库匹配法 基于漏洞库的漏洞扫描,通过采用漏洞规则匹配技术完成扫描。漏洞库是通过以下途径获取的:安全专家对网络系统的测试、黑客攻击案例的分析以及系统管理员对网络系统安全配置的实际经验。漏洞库信息的完整性和有效性决定了漏洞扫描系统的功能,漏洞库应定期修订和更新。 (2)插件技术(功能模块技术) 插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测系统中存在的漏洞。插件编写规范化后,用户可以自定义新插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单。 三.弱口令 通常帐户包含用户名及对应的口令。当口令使用简单的数字和字母组合时,非常容易被破解,我们称这种口令为弱口令。X-Scan工具中涵盖了很多种弱口令扫描方法,包括、SSH、POP3、IMAP、TELNET、WWW等。 为消除弱口令产生的安全隐患,我们需要设置复杂的密码,并养成定期更换密码的良好习惯。复杂的密码包含数字,字母(大写或小写),特殊字符等。例如:123$%^jlcss2008或123$%^JLCSS2008。

漏洞扫描技术

在计算机安全领域,安全漏洞(SecurityHole)通常又称作脆弱性(vulnerability)。 漏洞的来源漏洞的来源:(1)软件或协议设计时的瑕疵(2)软件或协议实现中的弱点(3)软件本身的瑕疵(4)系统和网络的错误配置 DNS区域传送是一种DNS 服务器的冗余机制。通过该机制,辅DNS服务器能够从其主DNS 服务器更新自己的数据,以便主DNS服务器不可用时,辅DNS服务器能够接替主DNS服务器工作。正常情况下,DNS区域传送操作只对辅DNS服务器开放。然而,当系统管理员配置错误时,将导致任何主机均可请求主DNS服务器提供一个区域数据的拷贝,以至于目标域中所有主机信息泄露. 网络扫描主要分为以下3个阶段:(1)发现目标主机或网络。(2)发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。(3)根据搜集到的信息判断或者进一步检测系统是否存在安全漏洞。 网络扫描的主要技术 (1)主机扫描:确定在目标网络上的主机是否可达,同时尽可能多映射目标网络的拓扑结构,主要利用ICMP 数据包 (2)端口扫描:发现远程主机开放的端口以及服务 (3)操作系统指纹扫描:根据协议栈判别操作系统 发现存活主机方法: ICMP 扫射ping 广播ICMP 非回显ICMP(ICMP时间戳请求允许系统向另一个系统询当前的时间。ICMP地址掩码请求用于无盘系统引导过程中获得自己的子网掩码。) TCP 扫射UDP 扫射 获取信息: (1)端口扫描: 端口扫描就是连接到目标机的TCP 和UDP端口上,确定哪些服务正在运行及服务的版本号,以便发现相应服务程序的漏洞。 (2)TCP connect()扫描: 利用操作系统提供的connect()系统调用,与每一个感兴趣的目标计算机的端口进行连接。如果目标端口处于侦听状态,那么connect()就能成功;否则,该端口是不能用的,即没有提供服务。 (3)TCP SYN扫描: 辨别接收到的响应是SYN/ACK报文还是RST报文,就能够知道目标的相应端口是出于侦听状态还是关闭状态(RST为关闭)。又叫“半开扫描”,因为它只完成了3次握手过程的一半. (4) TCP ACK扫描: 用来探测防火墙的规则设计。可以确定防火墙是简单的包过滤还是状态检测机制 (5):TCP Fin扫描: 扫描器发送一个FIN数据包 ?如果端口关闭的,则远程主机丢弃该包,并送回一个RST包 ?如果端口处于侦听状态忽略对FIN数据包的回复 ?与系统实现有一定的关系,有的系统不管端口是否打开,都回复RST(windows),但可以区分Unix和Windows (6) TCP XMAS 扫描(7) TCP 空扫描(8) UDP ICMP 端口不可达扫描

绿盟--漏洞扫描系统NSFOCUS-RSAS-S-v5.0

1.产品简介 每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明,99%的攻击事件都利用了未修补的漏洞,使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受巨大的经济损失。 寻根溯源,绝大多数用户缺乏一套完整、有效的漏洞管理工作流程,未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免由于攻击所造成的损失。 绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System,简称:NSFOCUS RSAS)第一时间主动诊断安全漏洞并提供专业防护建议,让攻击者无机可乘,是您身边的“漏洞管理专家”。 产品为国内开发,具备自主知识产权,并经过三年以上应用检验并提供产品用户使用报告的复印件;产品具有高度稳定性和可靠性。 产品取得了中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,中华人民共和国国家版权局《计算机软件著作权登记证书》,中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》,国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》,中国信息安全测评中心《信息技术产品安全测评证书--EAL3》,中国信息安全认证中心《中国国家信息安全产品认证证书》。 厂商在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。

产品使用了专门的硬件,基于嵌入式安全操作系统,大大提高了系统的工作效率和自身安全性。系统稳定可靠,无需额外存储设备即可运行,系统采用B/S 设计架构,并采用SSL加密通信方式,用户可以通过浏览器远程方便的对产品进行管理。 产品要求界面友好,并有详尽的技术文档;产品支持中英文图形界面,能够方便的进行语言选择,能够提供丰富的中英文语言的文档资料。 通过CVE兼容性认证及英国西海岸实验室Checkmark认证等国际权威认证。 2.产品功能 2.1 系统漏洞扫描功能 1. 漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类, 需要给出具体的分类信息。 2. 支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏 洞信息,并具体说明支持的检索方式。 3. 提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。

漏洞扫描概论和技术

随着信息技术在社会生活中的应用日益广泛,人们对信息安全的重要性有了更加深刻的认识。作为信息流通与传输的主要媒介,网络的安全问题无疑是信息安全中不可或缺的一环。而作为信息最初的发送方、中间的传递方、最终的接收方,主机的安全问题也占有非常重要的地位。在系统维护人员看来,只有足够安全的网络和主机,才能最大可能地保证信息安全。相应的,黑客(攻击者)也会尽可能地寻找网络和主机的漏洞,从而实施攻击来破坏信息安全。双方攻防的第一步,主要集中在对网络和主机的漏洞扫描上。 网络扫描,是基于Internet的、探测远端网络或主机信息的一种技术,也是保证系统和网络安全必不可少的一种手段。主机扫描,是指对计算机主机或者其它网络设备进行安全性检测,以找出安全隐患和系统漏洞。总体而言,网络扫描和主机扫描都可归入漏洞扫描一类。漏洞扫描本质上是一把双刃剑:黑客利用它来寻找对网络或系统发起攻击的途径,而系统管理员则利用它来有效防范黑客入侵。通过漏洞扫描,扫描者能够发现远端网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。 主机漏洞扫描,主要通过以下两种方法来检查目标主机是否存在漏洞:1)在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;2)通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。 一、漏洞扫描技术 安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。 漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。按照TCP/IP协议簇的结构,ping扫描工作在互联网络层:端口扫描、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网络层、传输层、应用层。ping扫描确定目标主机的IP地址,端口扫描探测目标主机所开放的端口,然后基于端口扫描的结果,进行OS探测和脆弱点扫描。 1.1 Ping扫描 ping扫描是指侦测主机IP地址的扫描。ping扫描的目的,就是确认目标主机的TCP/IP网络是否联通,即扫描的IP地址是否分配了主机。对没有任何预知信息的黑客而言,ping扫描是进行漏洞扫描及入侵的第一步;对已经了解网络整体IP划分的网络安全人员来讲,也可以借助ping扫描,对主机的IP分配有一个精确的定位。大体上,ping扫描是基于ICMP协议的。其主要思想,就是构造一个ICMP包,发送给目标主机,从得到的响应来进行判断。根据构造ICMP包的不同,分为ECH0扫描和non—ECHO扫描两种。 1.1.1 ECH0扫描 向目标IP地址发送一个ICMP ECHOREQUEST(ICMP type 8)的包,等待是否收至UICMP ECHO REPLY(ICMP type 0)。如果收到了ICMP ECHO REPLY,就表示目标IP上存在主机,否则就说明没有主机。值得注意的是,如果目标网络上的防火墙配置为阻止ICMP ECH0流量,ECH0扫描不能真实反映目标IP上是否存在主机。 此外,如果向广播地址发送ICMPECHO REQUEST,网络中的unix主机会响应该请求,而windows 主机不会生成响应,这也可以用来进行OS探测。 1.1.2 non-ECH0扫描

学习分析技术综述

学习分析技术综述 一、学习分析技术的起源与发展 学习分析是一个新兴的、正在发展的学科,是技术促进学习研究中增长最快的领域之一,也是当前的研究热点。美国新媒体联盟与美国高校教育信息化协会主动学习组织合作“新媒体联盟地平线项目(The New Media Consortium's Horizon Project)”的 2010 年度和2011年度报告中,预测基于数据的学习分析技术将在未来的四到五年内成为主流,并对学习分析技术在教学、学习、研究和知识生成等方面所具有的作用进行了分析,勾勒了其广泛的应用前景。近年来,在教育技术领域,学习分析逐渐成为了迅速发展的新热点之一。我们可以看出,各种学习技术系统中己经获取并储存了大量的学习者学习行为数据,而且这些学习行为的数据还在迅速增加,这就急迫需要一种新的技术对这些数据进行分析, 为改进学习实践、增强学习效果提供依据。尽管在传统教学过程中也能够评估学生的成绩、分析教学过程,从而提高教学的质量,但是所采集的数据往往不够充分,信息化程度较低,而且分析结果用于干预教学的周期过长,效果不明显。因此,学习分析技术逐渐浮现出来,并受到越来越多的关注。[1] 二、学习分析技术背景 在学习分析概念形成之前,相关方法、技术和工具都已经发展起来了。学习分析从一系列研究领域汲取技术,如数据统计、商业智能 (Business Intelligence)、网页分析(Web Analytics)、运筹学(Operational Research)、人工智能(AI)、教育数据挖掘(EDM )、社会网络分析、信息可视化等。数据统计历来作为一个行之有效的手段用来解决假设检验问题。商业智能以数据仓库、联机分析处理、数据挖掘等技术为基础,从不同的数据源中提取数据,将之转换成有用的信息,它与学习分析有相似之处,但它历来被定位于通过可能的数据访问和绩效指标总结使生产更高效。网页分析工具,如Google analytics通过网页访问量 ,与互联网网站、品牌等的关联做出报告,这些技术可以用来分析学生的学习资源(课程,材料等)以追踪学生的学习轨迹。运筹学通过设计优化数学模型和统计方法使目标最优化。人工智能和数据挖掘中的机器学习技术建立在数据挖掘和人工智能方法上,它能够检测数据中的模式。在学习分析中的类似技术可用于智能教学系统,以更加动态的方式对学生进行分类而不是简单地进行人口统计分类,可以通过协同过滤技术对特定的资源建立模型。社会网络分析可以分析出隐含的人与人(如在论坛上的互动)和外显的人与人(如朋友或者关注对象)之间的关系,在学习分析中可用于探索网络集群、影响力网络、参与及不参与状况。信息可视化是很多分析的重要一步(包括上面列出的那些分析方法),它可以用来对所提供的数据进行意义建构,John Tukey1977年在他的《探索性数据分析》一书中给我们介绍了如何更好地利用信息可视化,Turkey强调使用可视化的价值在于帮助在形成正式的假设之前做检验。以上这些学习分析技术都可以对大量数据进行分析和处理,形成分析报告为教育提供帮助。[2]

业务安全漏洞挖掘归纳总结

业务安全漏洞挖掘归纳总结 逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS 漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。今天漏洞盒子安全研究团队就与大家分享Web安全测试中逻辑漏洞的挖掘经验。 一:订单金额任意修改 解析 很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。 如下图所示:

经常见到的参数大多为rmb value amount

cash fee money 等 关于支付的逻辑漏洞这一块还有很多种思路,比如相同价格增加订单数量,相同订单数量减少产品价格,订单价格设定为负数等等。 预防思路 1.订单需要多重效验,如下图所演示。

2. 订单数值较大时需要人工审核订单信息,如下图所演示。 3. 我只是提到两个非常简单的预防思路,第二个甚至还有一些不足之处。这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。 二:验证码回传 解析 这个漏洞主要是发生在前端验证处,并且经常发生的位置在于 账号密码找回

支付订单等 验证码主要发送途径 邮箱邮件 手机短信 其运行机制如下图所示: 黑客只需要抓取Response数据包便知道验证码是多少。

1.response数据内不包含验证码,验证方式主要采取后端验证,但是缺点是服务器的运算压力也会随之增加。 2.如果要进行前端验证的话也可以,但是需要进行加密。当然,这个流程图还有一些安全缺陷,需要根据公司业务的不同而进行更改。

技术干货:逻辑漏洞挖掘经验

技术干货:逻辑漏洞挖掘经验 导语 简单说明一下:逻辑漏洞可以分为很多种:web逻辑漏洞、业务逻辑漏洞、支付逻辑漏洞等等,其中有部分漏洞都是大体相似的。 一、常见的逻辑漏洞 1.欺骗密码找回功能(构造验证码爆破) 程序根据一个验证码来确定是否是用户本人,但攻击者可以暴力猜解验证码 2.规避交易限制(修改商品价格) 攻击者篡改数据包,使得购买得商品参数错误或无法验证造成得溢出3.权限缺陷(水平越权、垂直越权) 攻击者更改数据包中用户得ID来访问指定用户得敏感信息或者冒充其他用户发布信息 4.cookie、token和session得验证问题(令牌验证时效性) 攻击者预先知道用户得ID,可以构造一个cookie、token或session 值为ture可以绕过令牌认证 5.浏览设计缺陷(顺序操作) 攻击者在购物过程中强制绕过支付过程,直接从加入购物车步骤跳到填写收货地址步骤,有绕过的情况。 二、支付逻辑漏洞

1.修改金额 2.修改商品数量 3.修改优惠金额 4.修改数量、单价、优惠价格参数为负数或者小数,无限大造成溢出 5.修改商品价格 6.支付key泄露 三、简单找了几个案例 1、密码爆破 这是最暴力最血腥的也是万般无奈之后的希望。 密码爆破往往出现再登录框需要输入账号密码的地方 提示密码不正确,可以简单的判断账号是有了。 2、、权限缺失 权限缺失可以导致任意用户查看、水平越权、垂直越权、未授权访问、任意修改用户密码等等 一般可以通过修改用户id、用户查询页面

垂直越权+任意用户修改权限 水平越权 (这里也算是令牌失效只需要修改id号就能查看到其他用户) 3、支付漏洞 这一般出现再订单提交过程中、通过抓包修改数据包达到目的、可以修改的东西很多比如:产品价格、订单信息、优惠卷金额、等等

漏洞挖掘技术研究

漏洞挖掘技术研究 【摘要】漏洞挖掘是网络攻防技术的重要组成部分。首先介绍了漏洞的概念、漏洞的成因、漏洞的主要分类以及漏洞挖掘一般流程,然后研究了补丁分析和测试技术两种漏洞挖掘方法,重点对二进制补丁比较、白盒测试、黑盒测试等具体漏洞挖掘技术进行了分析,比较了各种漏洞挖掘技术的优缺点。 【关键词】漏洞;漏洞挖掘;测试技术 1引言 目前,无论从国家层面的网络安全战略还是社会层面的信息安全防护,安全漏洞已成为信息对抗双方博弈的核心问题之一。然而,针对具体安全漏洞,安全研究者往往进行大量的重复工作,研究效率和效果上也有相当的局限性。因此,应该加大对漏洞挖掘的研究力度,以便对各类漏洞采取更为主动合理的处理方式。 2漏洞的概念及分类 2.1什么是漏洞 任何系统和软件的运行都会假定一个安全域,这个安全域是由安全策略规定的,在该域内的任何操作都是安全的、可控的,一旦超出了该域或者违反了安全策略,系统或者软

件的运行就是不可控的、未知的。漏洞是由安全域切换到非安全域的触发点,即在计算机安全领域因设计不周而导致的系统或软件存在的缺陷,从而可以使攻击者在非授权的情况下访问或者破坏系统。漏洞是静态的、被动的,但是可触发的。 2.2漏洞的分类 每一个漏洞都有多个特征,而根据不同的特征可以将漏洞按照不同的方式分类。一般情况下,漏洞信息应包括漏洞名称、漏洞成因、漏洞级别、漏洞影响、受影响的系统、漏洞解决方案、漏洞利用类型和漏洞利用方法等。本文根据漏洞的成因对漏洞进行分类,具体可分为: 缓冲区溢出错误(Buffer Overflow),未对输入缓冲区的数据进行长度和格式的验证; 输入验证错误(Input Validation Error),未对用户输入的数据进行合法性验证; 边界条件错误(Boundary Condition Error),未对边界条件进行有效性验证; 访问验证错误(Access Validation Error),访问验证存在逻辑上的错误; 意外条件错误(Exceptional Condition Error),程序逻辑未考虑意外和特例; 配置错误(Configuration Error),系统或软件的参数或

漏洞扫描实验报告

南京工程学院 实验报告 题目漏洞扫描 课程名称网络与信息安全技术 院(系、部、中心)康尼学院 专业网络工程 班级 K网络工程111 学生姓名赵志鹏 学号 240111638 设计地点信息楼A216 指导教师毛云贵 实验时间 2014年3月13日 实验成绩

漏洞扫描 一:实验目的 1.熟悉X-Scan工具的使用方法 2.熟悉FTPScan工具的使用方法 3.会使用工具查找主机漏洞 4.学会对弱口令的利用 5.了解开启主机默认共享以及在命令提示下开启服务的方法 6.通过实验了解如何提高主机的安全性 二:实验环境 Vmware虚拟机,网络教学系统 三:实验原理 一.漏洞扫描简介 漏洞扫描是一种网络安全扫描技术,它基于局域网或Internet远程检测目标网络或主机安全性。通过漏洞扫描,系统管理员能够发现所维护的Web 服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。漏洞扫描技术采用积极的、非破坏性的办法来检验系统是否含有安全漏洞。网络安全扫描技术与防火墙、安全监控系统互相配合使用,能够为网络提供很高的安全性。 漏洞扫描分为利用漏洞库的漏洞扫描和利用模拟攻击的漏洞扫描。 利用漏洞库的漏洞扫描包括:CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描和HTTP漏洞扫描等。 利用模拟攻击的漏洞扫描包括:Unicode遍历目录漏洞探测、FTP弱口令探测、OPENRelay邮件转发漏洞探测等。 二.漏洞扫描的实现方法 (1)漏洞库匹配法 基于漏洞库的漏洞扫描,通过采用漏洞规则匹配技术完成扫描。漏洞库是通过以下途径获取的:安全专家对网络系统的测试、黑客攻击案例的分析以及系统管理员对网络系统安全配置的实际经验。漏洞库信息的完整性和有效性决定了漏洞扫描系统的功能,漏洞库应定期修订和更新。 (2)插件技术(功能模块技术) 插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测系统中存在的漏洞。插件编写规范化后,用户可以自定义新插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单。 三.弱口令 通常帐户包含用户名及对应的口令。当口令使用简单的数字和字母组合时,非常容易被破解,我们称这种口令为弱口令。X-Scan工具中涵盖了很多种弱口令扫描方法,包括FTP、SMTP、SSH、POP3、IMAP、TELNET、WWW等。 为消除弱口令产生的安全隐患,我们需要设置复杂的密码,并养成定期更换密码的良好习惯。复杂的密码包含数字,字母(大写或小写),特殊字符等。例如:123$%^jlcss2008或123$%^JLCSS2008。

信息系统漏洞挖掘技术体系研究_张友春.

2011年2月Journal on Communications February 2011 第32卷第2期通信学报V ol.32No.2 信息系统漏洞挖掘技术体系研究 张友春1,魏强2,刘增良3,周颖4 (1. 北京科技大学信息工程学院,北京 100083;2. 解放军信息工程大学信息工程学院,河南郑州 450002; 3. 解放军国防大学信指部,北京 100091; 4. 北京市海淀区环境保护局,北京 100089 摘要:首先讨论漏洞挖掘相关的术语定义,分析漏洞挖掘目标对象特点,研究漏洞挖掘的一般流程,然后利用层次结构模型方法,创造性地提出了5层漏洞挖掘技术体系架构模型,并详细描述基础层、抽象层、挖掘层、分析层和利用层的内容、作用及其相关支撑技术。最后指出漏洞挖掘技术的发展方向是兼顾各层、协同发展。 关键词:信息系统;漏洞挖掘;目标对象;体系架构;支撑性技术 中图分类号 TP393.08 文献标识码:A 文章编号:1000-436X(201102-0042-06 Architecture of vulnerability discovery technique for information systems ZHANG You-chun1, WEI Qiang2, LIU Zeng-liang3, ZHOU Ying4 (1. College of Information Engineering, University of Science and Technology, Beijing 100083, China; 2. College of Information Engineering, PLA Information Engineering University, Zhengzhou 450002, China;

漏洞扫描设备采购需求及参数

附件1: 广西北部湾银行WAF设备、漏扫设备采购需求及参数 说明: ▲本项目需求表中,凡在“参考品牌”中列出了三个或三个以上参考品牌的货物,若竞标人的竞标产品品牌非列出的参考品牌之一,其竞标无效。 ▲带“★”的项为实质性要求和条件,不满足的竞标无效。 安全设备采购需求:

2

-中国人民解放军信息安全产品测评认证中心的《军用信息安全产品 认证证书(军B+级)》, -国家保密科技测评中心颁发的《涉密信息系统产品检测证书》 并提供上述产品有效证书的复印件。 4.★厂商应具备十年以上漏洞研究经验和独立漏洞发掘能力,自主发 现的CVE漏洞数量不少于60个,须在厂商网站公开且CVE网站可 查证,且获得漏洞厂商在安全公告致谢不少于40次,请提供证明。5.★请提供与漏洞扫描相关的公开专利,要求数量不少于5个,请提 供证明 二、产品性能 1.产品需使用专门的硬件,有自主知识产权的安全操作系统,采用B/S 设计架构,并采用SSL加密通信方式,无须安装客户端,用户可通 过浏览器远程方便的对产品进行管理。 2.1U机架式设备,1*RJ45串口,1*GE管理口,6个 10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(支持4电、4光、8电、8光)、IP地址扫描数≥1000。 3.★产品应提供三年原厂商售后维护服务,含软硬件维护和系统软件、 规则库升级服务,请详细说明售后服务的内容 4.支持IPv4和IPv6环境的部署和扫描。 5.允许最大并发扫描≥90个IP地址,允许最大并发任务≥15个任务, 支持无限IP授权扫描。 6.开启全插件漏洞扫描、弱口令探测和登陆扫描后扫描速度不低于 1000ip/h。(不同型号性能参数详见规格功能表) 7.产品应支持多路扫描功能,可以同时对多个隔离业务子网进行扫描。 三、漏洞管理和分析 1.★支持检测的漏洞数大于17000条,兼容 CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供 CVE Compatible证书。 2.产品支持对系统漏洞扫描、web漏洞、配置合规进行检查和综合分 析,可输出同时包含漏洞扫描和配置核查结果的报表,请提供功能 截图。 3.同时支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对 Windows、Linux等系统进行登录扫描。 4.产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。5.★提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入 到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入 到模板中。 6.★内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和 防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自 动模板匹配技术,请提供功能截图。 7.支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、

漏洞扫描与补丁管理系统的设计与实现

漏洞扫描与补丁管理系统的设计与实现 苏继成 北京邮电大学移动通信国家重点实验室,北京(100876) E-mail:prettyjeff@https://www.doczj.com/doc/ab3292451.html, 摘要:本文设计与实现了一种新型的漏洞扫描与补丁管理系统。该系统通过对局域网内的主机进行漏洞探测,获得所需的补丁信息,完成对主机的补丁升级。该系统支持中文补丁升级,及时有效地实现补丁自动下载、检测及安装;支持多种组网方案,适用于大型网络的补丁分发与部署,能摆脱大量繁琐的手工管理操作。尤为重要的是,可以减少因漏洞修补不及时造成的危害。 关键词:漏洞扫描,补丁,补丁分发,补丁管理 1. 引言 近年来,网络安全问题益发突出,主要表现在:大范围互联网攻击事件频繁发生,如2002年全球的根域名服务器遭到大规模拒绝服务攻击,而且随着网络应用的逐步深入和大范围推广,这些网络攻击事件造成的危害也愈来愈严重。2003年8月11日,利用MS03-26漏洞的“冲击波”蠕虫病毒(W32.BIaster.Worm)开始在全世界范围内爆发,造成巨大经济损失。在国内,两天时间里就使数千个局域网陷于瘫痪状态,受害者中既包括几十人的小规模企业,也有电信、政府等大型事业单位。 安全漏洞是这些网络安全问题的主要溯源。几乎所有的网络攻击都是基于操作系统或应用程序的漏洞进行的。如果我们能够根据具体的应用环境,尽可能早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。但是在相应的漏洞补丁发布后,用户使用补丁程序更新系统往往不够及时。一方面是因为用户安全意识的薄弱,往往要等到大规模的网络攻击开始时,才会想起安装补丁。更重要的原因是,补丁管理工作本身也比较繁琐枯燥,以微软的Windows系统为例,每个星期都有漏洞警报和补丁程序发布,网络管理员不仅要追踪和应用这些最新的升级信息,还要从中鉴别哪些补丁是必须和适用的[1]。 需要注意的是,大部分的危害都是在漏洞已经发布补丁后,由于更新不及时造成的危害。例如,在微软发布MS04-011公告后的几小时内才出现了通用的攻击代码,如果能够及时的进行漏洞修复,由此漏洞造成的危害将不会存在。 针对以上问题,本文提出一种漏洞扫描和补丁自动管理设计方案,实现对Windows系统的所有中文补丁的自动下载,检测及安装,确保补丁更新的及时性,完全可以避免因为漏洞修补不及时造成的损失。同时,本系统并支持多种组网方案的扩充,适应大规模网络的补丁分发[1]。 2 补丁管理的特性 2. 1 及时性 补丁管理需要有很强的及时性,如果补丁管理工作晚于攻击程序,那么企业就有可能被攻击,造成机密信息泄漏,比如2003年9月份发生的Half Life2源代码泄漏事件就是由于企业内部的客户端没有及时打补丁,而导致被IE漏洞攻击,造成重大损失。 由于黑客技术的不断积累和发展,留给管理员的时间将会越来越少,在最短的时间内安

漏洞扫描介绍

zxf 漏洞扫描介绍 漏洞扫描技术:是一类重要的网络安全技术。和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。 网络安全工作是防守和进攻的博弈,是保证信息安全,工作顺利开展的奠基石。及时,准确的审视自己信息化工作的弱点,审视自己信息平台的漏洞和问题,才能在这场信息安全战争中,处于先机,立于不败之地。只有做到自身的安全,才能立足本职,保证公司业务稳健的运行,这是信息时代开展工作的第一步。 漏洞扫描的功能: (1)定期的网络安全自我检测、评估 (2)安装新软件、启动新服务后的检查 (3)网络建设和网络改造前后的安全规划评估和成效检验 (4)网络承担重要任务前的安全性测试 (5)网络安全事故后的分析调查 (6)重大网络安全事件前的准备 (7)公安、保密部门组织的安全性检查 分类:网络漏洞扫描器 数据库漏洞扫描器 主机漏洞扫描器 技术:1.主机扫描:确定在目标网络上的主机是否在线 2.端口扫描:发现远程主机开放的端口以及服务 3.OS识别技术:根据信息和协议栈判别操作系统 4.漏洞检测数据采集技术:按照网络、系统、数据库进行扫描 5.智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描 6.多种数据库自动化检查技术,数据库实例发现技术 7.多种DBMS的密码生成技术,提供口令爆破库,实现快速的弱口令检测方法

网络安全技术漏洞扫描

网络安全技术漏洞扫描 1 引言 网洛扫瞄,是基于Internetde、探测远端网洛或主机信息de一种技术,也是保证系统和网洛安全必不可少de一种手段。主机扫瞄,是指对计算机主机或者其它网洛设备进行安全性检测,以找出安全隐患和系统漏洞。总体而言,网洛扫瞄和主机扫瞄都可归入漏洞扫瞄一类。漏洞扫瞄本质上是一把双刃剑:黑客利用它来寻找对网洛或系统发起攻击de途径,而系统管理员则利用它来有效防范黑客入侵。通过漏洞扫瞄,扫瞄者能够发现远端网洛或主机de配置信息、TCP/UDP端口de分配、提供de网洛服务、服务器de具体信息等。 2 漏洞扫瞄原理 漏洞扫瞄可以划分为ping扫瞄、端口扫瞄、OS探测、脆弱点探测、防火墙扫瞄五种主要技术,每种技术实现de目标和运用de原理各不相同。按照 TCP/IP 协议簇de结构,ping扫瞄工作在互联网洛层:端口扫瞄、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网洛层、传输层、应用层。 ping扫瞄确定目标主机deIP地址,端口扫瞄探测目标主机所开放de端口,然后基于端口扫瞄de结果,进行OS探测和脆弱点扫瞄。 2.1 Ping扫瞄 ping扫瞄是指侦测主机IP地址de扫瞄。ping扫瞄de目de,就是确认目标主机deTCP/IP网洛是否联通,即扫瞄deIP地址是否分配了主机。对没有任何预知信息de黑客而言,ping扫瞄是进行漏洞扫瞄及入侵de第一步;对已经了解网洛整体IP划分de网洛安全人员来讲,也可以借助 ping扫瞄,对主机deIP 分配有一个精确de定位。大体上,ping扫瞄是基于ICMP协议de。其主要思想,

就是构造一个ICMP包,发送给目标主机,从得到de响应来进行判断。根据构造ICMP包de不同,分为ECH0扫瞄和non—ECHO扫瞄两种。 2.1.1 ECH0扫瞄 向目标IP地址发送一个ICMP ECHOREQUEST(ICMP type 8)de包,等待是否收至UICMP ECHO REPLY(ICMP type 0)。如果收到了ICMP ECHO REPLY,就表示目标IP上存在主机,否则就说明没有主机。值得注意de是,如果目标网洛上de防火墙配置为阻止ICMP ECH0流量,ECH0扫瞄不能真实反映目标IP上是否存在主机。 此外,如果向广播地址发送ICMPECHO REQUEST,网洛中deunix主机会响应该请求,而windows主机不会生成响应,这也可以用来进行OS探测。 2.1.2 non-ECH0扫瞄 向目deIP地址发送一个ICMP TIMESTAMP REQUEST(ICMP type l3),或ICMP ADDRESS MASK REQUEST (ICMP type l7)de包,根据是否收到响应,可以确定目de主机是否存在。当目标网洛上de防火墙配置为阻止ICMP ECH0流量时,则可以用non.ECH0扫瞄来进行主机探测。 2.2端口扫瞄 端口扫瞄用来探测主机所开放de端口。端口扫瞄通常只做最简单de端口联通性测试,不做进一步de数据分析,因此比较适合进行大范围de扫瞄:对指定IP地址进行某个端口值段de扫瞄,或者指定端口值对某个IP地址段进行扫瞄。根据端口扫瞄使用de协议,分为TCP扫瞄和UDP扫瞄。 2.2.1 TCP扫瞄

漏洞扫描运维指南设计

漏洞扫描设备日常运维指南 V1.00

修改记录

漏洞扫描设备 日常运维指南 一、每日例行维护 1、系统管理员职责 为保证漏洞扫描设备的正常运行,系统管理员需要在每日对设备进行例行检查。 ?系统管理员每日在上班后,在入漏洞扫描主界面新建测试扫描,随便测试扫描某台设备,观察是否可以正常进行扫描。 ?如无法打开漏洞扫描管理界面,需查看设备后面板的通讯口是否正常,通讯口指示灯正常状态为绿色;如果通讯口出现接口灯不亮的 情况下,需要及时通知网络管理员配合查看交换机端口是否正常。 ?如交换机及线路都正常的情况下,重启漏洞扫描设备。 ?如可以打开管理界面,但测试扫描任务失败,重启漏洞扫描设备,重新进行测试扫描,如仍然失败,请及时联系厂商工程师。 ?目前的漏洞扫描策略为每月对服务器区进行2次扫描,分别为每月1号和15号的定时任务。 二、周期性维护工作 在漏洞扫描设备的运行过程中,需要定期对设备进行维护。 1、系统管理员职责 ?系统管理员每周需要通过互联网络从启明星辰公司和绿盟公司的上查询是否有最新的漏洞库和引擎库库升级程序,如果发布了新的版

本,下载完毕后进行手动升级。 ?在升级完成后,重新启动漏洞扫描系统。 ?系统管理员每月对漏洞扫描设备的升级及任务变动情况进行汇总,形成报告后提交主管领导。 2、安全管理员职责 ?安全管理员应在每个月的2号和16号,登陆漏洞扫描系统,对前一天的定时的执行漏洞扫描任务生成漏洞扫描报表。 ?根据漏洞扫描的报告,通知各部门的单位网管对相应的高级以上风险漏洞进行修复。 ?安全管理员应跟踪漏洞修复的状态,在单位网管完成修复后,重新运行漏洞扫描工具,再次确认上一次的漏洞扫描报告中的高级以上 风险是否修复完毕。 ?安全管理员应每月对漏洞扫描扫描出的漏洞进行分析,形成分析报告后,提交主管领导。 3、审计员职责 ?审计员应定期查看审计日志,每月查询所有系统管理员的操作行为,记录并形成报告,送阅相关领导。 4、不定期维护 ?安全管理员应根据需要,随时登陆漏洞扫描系统,对需要扫描的对象建立扫描任务,执行完毕后,通过报表工具,生成漏洞扫描报告,并根据报告,对扫描的对象的安全漏洞进行修正。

等保2.0之漏洞扫描系统技术方案建议书

等保2.0之漏洞扫描系统技术 方案建议

目录 1 概述 (3) 2 ××企业网络分析 (3) 2.1 ××企业网络现状 (3) 2.2 ××企业网络主机及应用调研 (3) 2.3 ××企业网络安全风险问题与分析 (3) 3 ××企业漏洞扫描系统需求 (4) 3.1 ××企业漏洞扫描系统设计原则 (4) 3.2 ××企业漏洞扫描系统需求 (4) 4 XX漏洞扫描器解决方案 (5) 4.1 XX漏洞扫描系统简介 (5) 4.2 ××企业漏洞扫描器部署模式 (6) 4.2.1 单机部署 (6) 4.2.2 分布式部署 (7) 4.3 应用场景 (7) 4.3.1 金融行业互联网风险管理 (8) 4.3.2 政府信息中心漏洞扫描器 (8) 4.3.3 能源行业漏洞扫描器 (9) 4.3.4 中小企业和分支机构漏洞扫描器 (9) 4.3.5 大型企业漏洞扫描器 (10) 4.3.6 教育行业漏洞扫描器 (11) 4.4 ××企业网络安全解决方案优点总结 (11) 5 XX漏洞扫描系统给用户带来的价值 (12) 5.1 快速部署 (12) 5.2 一体化策略管理 (12) 5.3 多功能综合评估 (12) 6 XX服务 (13) 6.1 服务理念 (13) 6.2 服务内容 (13) 6.3 服务保障 (13)

等保2.0之漏洞扫描系统技术方案建议书1 概述 在Internet飞速发展的今天,网络已成为企业的重要生产工具,员工可以通过网络进行办公、公司的核心数据也利用网络设备进行存储,但由于组网设备及开发人员的安全能力参差不齐,会使网络存在逻辑设计上的缺陷或错误,而产生安全隐患。 面对愈加恶劣的网络环境,单纯的网络防护产品已经不能够为企业带来足够的安全,越来越多的客户开始关注网络环境自身的安全性。XX漏洞扫描系统,集系统扫描、Web扫描、数据库扫描、安全基线及弱口令于一身,可对网络环境的各个环节进行全方位的安全评估。 2 ××企业网络分析 通过与××企业进行深入的交流,我们对其网络进行了充分的了解与分析。 2.1 ××企业网络现状 此部分主要包括两个部分: 1.××企业内部网络拓扑图,明确各个区域分布及连通情况。 2.××企业内部业务承载及分布情况 2.2 ××企业网络主机及应用调研 给出企业现网的主机及业务系统列表,可以根据主机及应用类型来制定扫描计划 2.3 ××企业网络安全风险问题与分析 此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出: 1.××企业内部没有进行风险评估能力建设,无法有效感知到网内的安全风险;

漏洞扫描等工具在安全评估中的作用

漏洞扫描等工具在安全评估中的作用 姓名:王琦 单位:上海三零卫士信息安全有限公司 摘要:缺陷评估是信息安全评估体系中一个重要的环节,正确认识漏洞扫描、安全审计等安全工具在评估体系中的作用是本文的关键。 关键词:信息安全、风险评估、漏洞扫描、安全审计、安全工具 在当今信息化大潮中,信息化的安全对于每个企业或单位的业务发展起到了越来越关键的支撑作用-――支撑企业或单位的IT架构安全、有效、稳定的运转,信息流也正因此得以充分发挥其快捷性这一无可比拟的优势。对信息安全性进行专业风险评估的需求也越来越迫切。 工具型评估在整体安全评估中所处的阶段 通常在我们谈到评估时,立刻会想到资产、风险、威胁、影响、脆弱点等等一系列风险评估中的术语,对于信息系统而言,安全评估即为信息安全性的风险评估,信息系统安全评估是一个很大的专业工程,目前国内外较大的安全服务提供商一般都经历过采用BS7799和OCTA VE两种评估体系进行指导操作的发展阶段。 我们先谈一谈这两种评估体系的实施特点,在实施中大致可以分为以下几个阶段: ◆明确需求阶段 此阶段完成初期交流、预评估方案、投标和答标文档,客户和服务方均在此阶段逐 步明确评估程度; ◆规划阶段 这是一个典型的Project工程阶段,内容包括问题描述、目标和范围、SWOT分析、工作分解、里程碑、进度计划、双方资源需求、变更控制等; ◆操作执行阶段 此阶段又可分为四个子阶段,见下表: 阶段内容 资产评估阶段系统和业务信息收集/资产列表/资产分类与赋值/资产报告 威胁评估阶段部署IDS获取威胁点/收集并评估策略文档/BS7799顾问访谈 /事件分析/威胁报告 缺陷评估阶段扫描/审计/渗透测试/缺陷报告 风险分析和控制阶段数据整理、入库及分析/安全现状报告/安全解决方案 ◆报告阶段

相关主题
相关文档 最新文档