信息安全工程師教程學(xué)習(xí)筆記(二

1、信息安全工程師教程學(xué)習(xí)筆記（二）全國(guó)計(jì)算機(jī)技術(shù)與軟件專(zhuān)業(yè)技術(shù)資格（水平）考試，這門(mén)新開(kāi)的信息安全工程師分屬該考試“信息系統(tǒng)”專(zhuān)業(yè)，位處中級(jí)資格。官方教材信息安全工程師教程及考試大綱于7月1日出版，希賽小編整理了信息安全工程師教程學(xué)習(xí)筆記，供大家參考學(xué)習(xí)。 漏洞攻擊 國(guó)內(nèi)外黑客組織或者個(gè)人為牟取利益竊取和篡改網(wǎng)絡(luò)信息，已成為不爭(zhēng)的事實(shí)，在不斷給單位和個(gè)人造成經(jīng)濟(jì)損失的同時(shí)，我們也應(yīng)該注意到這些威脅大多是基于Web網(wǎng)站發(fā)起的攻擊，在給我們?cè)斐刹豢赏旎氐膿p失前，我們有必要給大家介紹幾種常見(jiàn)的網(wǎng)站漏洞，以及這些漏洞的防范方法，目的是幫助廣大網(wǎng)站管理者理清安全防范思緒，找到當(dāng)前的防范重點(diǎn)，最大程度地避免

2、或減少威脅帶來(lái)的損失。 1.SQL語(yǔ)句漏洞 也就是SQL注入，就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過(guò)WEB表單遞交查詢字符暴出的，這類(lèi)表單特別容易受到SQL注入式攻擊。 有效防范手段：對(duì)于SQL注入問(wèn)題的一般處理方法是賬戶最小權(quán)限原則。以下幾種方法推薦使用： 對(duì)用戶輸入信息進(jìn)行必要檢查； 對(duì)一些特殊字符進(jìn)行轉(zhuǎn)換或者過(guò)濾； 使用強(qiáng)數(shù)據(jù)類(lèi)型； 限制用戶輸入的長(zhǎng)度； 需要注意：這些檢查要放在server運(yùn)行，client提交的任何東西都是不可信的。使用存儲(chǔ)過(guò)程，如果一定要使

3、用SQL語(yǔ)句，那么請(qǐng)用標(biāo)準(zhǔn)的方式組建SQL語(yǔ)句。比如可以利用parameters對(duì)象，避免用字符串直接拼SQL命令。當(dāng)SQL運(yùn)行出錯(cuò)時(shí)，不要把數(shù)據(jù)庫(kù)返回的錯(cuò)誤信息全部顯示給用戶，錯(cuò)誤信息經(jīng)常會(huì)透露一些數(shù)據(jù)庫(kù)設(shè)計(jì)的細(xì)節(jié)。 2.網(wǎng)站掛馬 掛馬就是在別人電腦里面(或是網(wǎng)站服務(wù)器)里植入木馬程序，以盜取一些信息或者控制被掛馬的電腦做一些不法的勾當(dāng)（如攻擊網(wǎng)站，傳播病毒，刪除資料等）。網(wǎng)頁(yè)掛馬就是在網(wǎng)頁(yè)的源代碼中加入一些代碼，利用漏洞實(shí)現(xiàn)自動(dòng)下載木馬到機(jī)器里。網(wǎng)站掛馬的形式可分為框架掛馬、數(shù)據(jù)庫(kù)掛馬、后臺(tái)掛馬、服務(wù)器掛馬以及其他形式的掛馬方式。 有效防范手段：要防止網(wǎng)站被掛馬，可以采取禁止寫(xiě)入和目錄禁止

4、執(zhí)行的功能，這兩項(xiàng)功能相組合，就可以有效地防止ASP木馬。此外，網(wǎng)站管理員通過(guò)FTP上傳某些數(shù)據(jù)，維護(hù)網(wǎng)頁(yè)時(shí)，盡量不安裝asp的上傳程序。這對(duì)于常被ASP木馬影響的網(wǎng)站來(lái)說(shuō)，會(huì)有一些幫助。當(dāng)然是用專(zhuān)業(yè)的查殺木馬工具也是不錯(cuò)的防護(hù)措施。 需要注意：管理員權(quán)限的用戶名和密碼要有一定復(fù)雜性，并只允許信任的人使用上傳程序。 3.XSS跨站攻擊 XSS又叫CSS(Cross Site Script)，屬于被動(dòng)式的攻擊，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼（攻擊者有時(shí)也會(huì)在網(wǎng)頁(yè)中加入一些以.JS或.VBS為后尾名的代碼），當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)

5、被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。 有效防范手段：對(duì)于XSS跨站攻擊的防范分為對(duì)網(wǎng)站和對(duì)個(gè)人分別來(lái)講。 對(duì)于網(wǎng)站，堅(jiān)決不要相信任何用戶輸入并過(guò)濾所有特殊字符，這樣可以消滅絕大部分的XSS攻擊。 對(duì)于個(gè)人，保護(hù)自己的最好方法就是僅點(diǎn)擊你想訪問(wèn)的那個(gè)網(wǎng)站上的鏈接。有時(shí)候XSS會(huì)在你打開(kāi)電子郵件、打開(kāi)附件、閱讀留言板、閱讀論壇時(shí)自動(dòng)進(jìn)行，當(dāng)你打開(kāi)電子郵件或是在公共論壇上閱讀你不認(rèn)識(shí)的人的帖子時(shí)一定要注意。最好的解決辦法就是關(guān)閉瀏覽器的Javascript功能。在IE中可以將安全級(jí)別設(shè)置為最高，可以防cookie被盜。 拒絕服務(wù)攻擊 拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問(wèn)，是黑客

6、常用的攻擊手段之一。這些資源包括磁盤(pán)空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問(wèn)。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。 1SYN Foold SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與

7、DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。 SYN Flood攻擊的過(guò)程在TCP協(xié)議中被稱為三次握手(Three-way Handshake)，而SYN Flood拒絕服務(wù)攻擊就是通過(guò)三次握手而實(shí)現(xiàn)的。 (1)攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN(Synchronize)即同步報(bào)文。同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。這時(shí)同被攻擊服務(wù)器建立了第一次握手。 (2)受害服務(wù)器在收到攻

8、擊者的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示攻擊者的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加一，ACK(Acknowledgment)即確認(rèn)，這樣就同被攻擊服務(wù)器建立了第二次握手。 (3)攻擊者也返回一個(gè)確認(rèn)報(bào)文ACK給受害服務(wù)器，同樣TCP序列號(hào)被加一，到此一個(gè)TCP連接完成，三次握手完成。 具體原理是：TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的(第三次握手無(wú)法完成)，這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長(zhǎng)度我們

9、稱為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)(大約為30秒2分鐘)；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常之小)，此時(shí)從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)，這種情況就稱作：服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。 2IP欺騙DOS攻擊 這種攻擊利用RST位來(lái)實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(1)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從61