陈枭第6-7-8-10章答案
- 格式:doc
- 大小:345.50 KB
- 文档页数:11
第6章1. 答:就一般而言,软件被分为3种可信类别。
(1)可信的。
软件保证能安全运行,但是系统的安全仍依赖于对软件的无错操作。
(2)良性的。
软件并不确保安全运行,但由于使用了特权或对敏感信息的存取权,因而必须确信它不会有意的违反规则。
良性软件的错误被视为偶然性的,而且这类错误不会影响系统的安全。
(3)恶意的。
软件来源不明,从安全的角度出发,该软件被认为将对系统进行破坏。
日常使用的软件,不管是由谁编写的以及它是何种软件,都是良性软件。
因为它们不能确保系统的安全运行,而它们又不是恶意的欺骗用户,所以都是不可信的。
通常将良性和恶意软件统称为不可信软件,这是因为没有一个客观、通用的方法度量它们的差异。
在大多数情况下操作系统被认为是可信的,应用程序是不可信的。
2. 答:在Windows XP中由于引入了对象指定的ACE并且自动继承,所以ACE的顺序变得更加复杂了。
非继承的ACE置于继承的ACE之前。
在继承和非继承的ACE中,依据ACE的类型来排列次序:应用于对象自身的访问拒绝ACE;应用于对象的子对象的访问拒绝ACE;应用于对象自身的访问允许ACE;应用于对象的子对象的访问允许ACE。
由于在进程每次使用句柄时,系统都处理DACL是缺乏效率的,所以这种检查只在打开句柄时进行,并不是每次使用句柄时都进行。
而且需要记住的是由于核心态代码使用指针而不是句柄去访问对象:所以操作系统使用对象时并不进行访问检查。
换句话说,在安全性方面,Windows XP是完全“信任”它自己的。
一旦进程成功地打开一个句柄,安全系统也不能取消已授予的访问权力,即使对象的DACL改变了。
这就要求每次使用句柄时都要进行彻底的安全检查,而不是仅在最初创建句柄时才做这样的检查。
把已经授予的访问权力直接存储在句柄中将显著地提高性能,特别是对那些具有较长DACL的对象。
3. 答:(1)清空日志(2)截断事务日志(3)压缩数据库文件(4)为了最大化的缩小日志文件a.分离数据库:b.在我的电脑中删除LOG文件c.附加数据库:此法将生成新的LOG,较原来的小(5)设定最大允许文件大小4. 答:Windows XP安全漏洞及解决方案Windows XP远程桌面明文帐户名传送漏洞漏洞描述:Windows XP 远程桌面存在设计缺陷,可能导致攻击者得到系统远程桌面的帐户信息,有助于其进一步攻击。
在连接建立的时候,Windows XP 远程桌面把帐户名以明文发送给连接它的客户端。
发送的帐户名不一定是远端主机的用户帐号,而是最常被客户端使用的帐户名,网络上的嗅探程序可能会捕获到这些帐户信息。
防范措施:建议安装补丁或者升级程序,如果不能立刻安装补丁或者升级,建议采取以下措施以减少风险:暂时停止远程桌面的使用,直到有厂商的解决方案。
Microsoft Windows XP快速帐号切换功能造成帐号锁定漏洞漏洞描述:Microsoft Windows XP新设计了帐号快速切换功能,可以使用户快速地在不同的帐号之间切换而不需要先退出再登录。
但Microsoft Windows XP快速帐号切换功能设计存在漏洞问题,该漏洞可被用来造成帐号锁定,使所有非管理员帐号都不能登录。
配合帐号锁定功能,用户可以利用帐号快速切换功能,快速地重试登录一个用户名,使系统认为有暴力猜解攻击,从而造成全部非管理员帐号的锁定,这样一来其他用户如果没有管理员的解禁就不能登录主机了。
Tomasz Polus (Tomasz_Polus@.pl)提供了如下的漏洞测试方法:(1)设置最多错误口令尝试为3次;(2)以一般用户权限创建10个帐户(User1— User10);(3)用User1帐号登录;(4)使用快速帐号切换登录到User2帐号;(5)用快速帐号切换从User1帐号登录User2帐号连续失败3次;(6)试着去登录User3帐号,这时你会发现所有非管理员帐号均已经锁定。
防范措施:临时解决方法是,如果你不能立刻安装补丁或者升级,建议你采取以下措施以减少风险:暂时禁止帐户快速切换功能。
此漏洞目前还没有提供厂商补丁或者升级程序。
微软Windows 2000/XP终端服务IP欺骗漏洞漏洞描述:Windows 2000/XP 的终端服务器存在一个安全问题:允许远程攻击者匿名访问该服务。
这是由于Windows 2000/XP 的终端服务器不是从TCP栈中取客户端的IP地址,而是接受客户端提供的IP地址,该IP地址客户是通过基于ITU T.120 协议的Remote Desktop Protocol 传输的。
如果某个客户端位于路由器的后面,并且只有内部IP地址,那么如果该客户端与远程终端服务器建立连接的话,远程的终端服务器就会记录该端的内部IP 地址,而该地址是没有什么意义的。
防范措施:如果你不能立刻安装补丁或者升级,因此建议你采取以下措施以减少风险:使用第三方工具来记录日志,如windump限制不可信用户访问终端服务。
该漏洞目前还没有提供补丁或者升级程序。
Microsoft Windows 2000/XP GDI 拒绝服务漏洞漏洞描述:Windows Graphics Device Interface (GDI)是一套应用程序接口,用于显示图形输出。
但是它存在一个安全问题,可能导致系统拒绝服务。
这是由于GDI无法正确处理畸形或无效的参数和标志位造成的,出现该问题时系统表现为蓝屏,只有重新启动才能恢复正常功能。
防范措施:立刻安装补丁或者升级,禁止不可信用户登录到系统。
Oracle安全策略和方法:∙在安装Oracle Server前,创建数据库管理员组(DBA)并且分配root和Oracle软件拥有者的用户ID给这个组。
在安装过程中系统权限命令被自动分配给DBA组。
∙允许一部分UNIX用户有限制地访问Oracle服务器系统,确保给Oracle服务器实用例程Oracle组ID,公用的可执行程序(例如SQL*Plus、SQL*Forms等)应该可被这个组执行。
然后设定这个实用例程的权限,允许同组的用户执行,而其他用户不能。
∙改变那些不会影响数据库安全性的程序的权限。
为了保护Oracle服务器不被非法用户使用,可以采取如下几条措施。
∙确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle软件拥有者所有。
∙给所有用户实用例程(sqiplus、sqiforms、exp、imp等)特定权限,使服务器上所有的用户都可访问Oracle服务器。
∙给所有的DBA实用例程(比如SQL*DBA)特定权限。
当Oracle服务器和UNIX组访问本地的服务器时,用户可以通过在操作系统下把Oracle服务器的角色映射到UNIX组的方式来使用UNIX管理服务器的安全性。
这种方法适应于本地访问。
Oracle软件的拥有者应该设置数据库文件的使用权限,使得文件的拥有者可读可写,同组的和其他组的用户没有写的权限。
Oracle软件的拥有者应该拥有包含数据库文件的目录,为了增加安全性,建议收回同组和其他组用户对这些文件的可读权限。
保护默认的用户账号必须牢记在心的是:商业应用服务,包括Oracle应用服务,都包含有若干众所周知的模式,而这些都是黑客们的机会和目标。
这些账号需要被严加看守。
虽然在各个应用程序中账号的数量和权限都各有不同,但确保这些账号的安全则是非常重要的,只有这样,才能把危险降到最低点。
(1)对数据库的访问和登录进行保护(2)抛弃任何陈旧的东西Oracle密码Oracle在数据字典中存放用户密码。
对于得到数据库认证的用户,其中所存放的实际上不是密码明文本身,而是密码校验(password verifiers)。
密码校验是密码明文的哈希(hash)表示。
其中存放的密码校验值以十六进制表示。
数据库认证的过程则是计算用户为了通过认证所提供的密码明文的密码校验,并把计算结果与数据字典中存放的某一密码校验比较,如果相符合,则表示用户提供了相同的密码,从而可以通过认证。
(1)使用Oracle本地存储的密码验证密码(2)检测弱密码或默认密码(3)管理并确保安全密码①复杂密码②密码规范③确保密码策略的可操作性(4)限制数据库资源(5)确保网络的安全①加密②数据库监听器③外部调用④IP地址调用第7章1. 答:参见书7.1.4章节内容。
2. 答:步骤1:用户下载后,直接运行KaBoom!3.exe程序文件,即可弹出如图1所示的窗口。
步骤2:单击"Mailbomber"按钮,即可打开"Mailbomber"设置界面,如图2所示。
图1图2步骤3:在"To"文本框中输入要攻击的邮箱地址;在"From"文本框中输入自己的邮箱地址;在"Subject"文本框中输入邮件的标题;在"Message Body"文本框中输入邮件的内容,在"Server"下拉列表中选择一个匿名邮件服务器;在"Priority"下拉列表选择该邮件的发送优先级别。
步骤4:选择"Number of messages"单选按钮可设定重复发信次数;选择"Mail Perpetually"单选按钮,则可以一直重复发信,直至单击"Stop"按钮。
勾选"CC"复选框,则可以添加其他同时要攻击的邮箱地址。
步骤5:单击"Open"按钮,可添加邮件的附件,如病毒与木马程序等,如图3所示。
单击"Finger"按钮,可探测被攻击目标的活动情况。
图3步骤6:在全部设置完毕后,单击"Send"按钮,即可开始发送邮件。
如果邮件的容量过多,发送次数过多,就会形成炸弹的效果,将对方邮箱挤爆。
因为"邮箱炸弹"工具的使用非常简单,且威力强大,所以很多心怀不轨的人就会使用这些工具对别人的邮箱进行破坏。
为防止自己的邮箱遭到"邮箱炸弹"的袭击,可采取如下措施进行防范。
不要将自己的邮箱地址到处传播,特别是申请上网账号的ISP送的邮箱。
如果允许,可以使用一些工具防止邮箱炸弹的攻击。
最好通过Outlook、Foxmail等邮件工具的POP3收信。
这样即使自己的邮箱遭遇"邮箱炸弹",也可以避免本地遭受危险。
如果发现某个邮箱不停地向自己的邮箱中发送邮件,则可以先打开一封信,查看清对方的邮件地址,使用邮件过滤功能将该地址发送的邮件过滤掉,不再接收其发送的邮件,再从邮件服务器上将其进行删除。
在收信时一旦发现邮件列表的数量,超过平时正常邮件的数量若干倍,就应当立即停止下载邮件,并从服务器删除"邮箱炸弹"。