2021年3月1日
恶意代码:早期是有经验的软件开发人员,现在是脚本小子,最新趋势是高级持续性威胁(APT)。
病毒:主要功能是传播和破坏。
1.传播技术:主引导记录病毒,文件程序感染病毒,宏病毒,服务注入病毒
2.易受攻-击的平台,Windows平台,95%
3.反病毒机制:特征型检测(杀毒、割裂文件、删除文件);启发式检测:分析软件行为,寻找活动迹象。
4.病毒技术:复合病毒(多种传播技术)、隐形病毒(篡改操作系统欺骗反病毒软件)、多态病毒(传输时,修改自身的代码,改变特征)、加密病毒(使用加密技术来躲避检测)
5.骗-局:欢乐时光(Good Time)病毒警告。
特洛伊木-马:流氓杀毒软件、“勒索软件”
蠕虫:
1.CodeRed蠕虫: 2001年夏天,三个任务:传染;破坏HTML文件;植入逻辑炸弹,对白宫主页进行Dos攻-击。
2.震网病毒:Stuxnet,2010年,破坏西门子制造的控制器系统。标志着两个主要演变:a.使用蠕虫对设施进行严重的物理破坏;b.在国家质检的战争中使用恶意代码。
间谍软件:会监控你的动作并传送机密数据(用户名、密码等)给远程系统。
广告软件:使用多种技术显示广告。简单的是在访问web时弹出广告;更恶毒的是监控你的购物行为,并重定向到竞争对手的页面。
零日攻-击:两个原因:未修复的bug,管理员没有及时更新补丁。防护措施:补丁管理程序、最新反病毒软件、配置管理、应用程序控制、内容过滤、其他保护。
密码攻-击:获取用户名密码,再提权(rootkit)
1.密码猜测攻-击:找出用户名,猜测密码:用户姓氏、名字等;生日、电话等。
2.字典攻-击:彩虹表。
3.社会工程学:最有效的工具,鱼叉式网络钓鱼,钓鲸,Vishing,垃圾搜寻。
4.对策:安全的基石是教育,采用复杂密码,PasswodSafe和LastPass为每个服务创建独特强大的密码。
应用程序攻-击:
1.缓冲区溢出:没有正确验证用户输入,防护有段:参数检查。
2.检验时间到使用时间(Time of Check to Time of Use,TOCTOU),检查访问许可权限时间早于资源请求时间。例如:登录时确定访问权限列表,会话期间可能会取消某个权限,这样只能下次登录的时候才重新验证权限,如果会话一直存在,则权限一直有问题。
3.后门:没有被记录到文档中的命令序列,他允许软开人员绕过正常的访问机制。许多恶意软件也会创建后门。
4.权限提升和rootkit:从普通账号提升为管理员,使用rootkit利用已知漏洞。防护措施:关注并及时更新操作系统的最新补丁。
Web应用的安全性:
1.跨站脚本XSS,防护:输入验证,输入白名单
2.跨站请求伪造(XSRF,CSRF),防护:a.在web中嵌入攻-击者不知道的安全令牌;b.检查请求中引用URL,并只接受源于自己站点的请求。
3.SQL注入:动态web应用程序。防护:a.使用准备好的语句(参数化查询、存储过程);b.执行输入验证(白名单验证);c.限制用户特权(DB只允许查询权限)
侦察攻-击:
1.IP探测:ping nmap
2.端口扫描
3.漏洞扫描:Nessus,OpenVAS,Qualys,Core Impact,Nexpose
当前攻-击都是利用高度自动化的工具。
伪装攻-击:
1.IP欺骗:防护措施:a.内网源IP不能从外网进入;b.外网源IP不能从内部离开;c.私网IP不能通过公网路由器。
2.会话劫持:怀有恶意的人中途拦截已授权用户与资源之间的通信的一部分。然后接管该会话,伪装成该用户。
捕获验证详细信息,伪装成客户端。
欺骗客户端,模拟服务器。
使用没有正常关闭连接的用户cookie数据访问web应用程序。
防护:使用行政管理性控制措施(防重放身份验证技术);应用程序控制措施(加一段适当时间,使cookie失效)。
课后习题20题,错了2个。