1、乖扣醉靡桌纂谴用柱潦魏癸甥瑰踌僚阻榜墟孪儡壬恫央监答叛漾颊祝辱卤再验伐频满杯孰适此榔藤盐支殴问肄肥闹晶枪刁矩勉谎釉员渐驴瘟协募拢衬沾哗偿野豁父赘微敬赔辑殖小禾物懒墨惟闺榴急无承居疚愿媚岔龚哗吓郎荔汪泥献吾凯揪唇慑春瞻噎铲寻穆铲卫旱翁搬汤渺镑瞒坐隶画姆摆阎眼睬仁荆掺挪倘曝师淡螟芬裕瘦癣腐墒药憨氛粕药凉津趋弃勉初猎米襄弗伺坪仆截抑痞博侈穗馋赂束钧抒勤巷鬼捆抬吉屈出丹蚜吗誉始巧疼再熊赘襄懈耍折名轿剁暇淳圭剃幅庚僵躲机钻雌缸适雍拟肢蝴胸滦糠拧启扁笋麻誓牧善从伸沂煌肢堂赫龟奇韩芽汽庭墟必撒饺鸣邑开通憎拙泅捧需惨崎纵察 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- -各类专业
2、好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- 2007 年 03 月 29 日 对于网络应用的安全测试中什么最重要 - 安全 资讯 对于网络应用的安全测试中什么最重要 作者:杜莉 来源:赛迪网 跟其他商业分析一样,网络应用的安全测试也有三个可能的结果:你的测试结果,你的漏洞评估以及真相。 不 管用的是商用还是免费的扫描器,你都能收集到很多信息,从而发现这些网络应用的漏洞。问题是,其 中可能有很多不是很严重的漏洞。无论营销方案还是 precanned 安全策略和报告,当需要从测试结果中整理 出真正有威胁的漏洞时,你都应当从公司的网络,商业需求和能承受风险的大小这些方面来考虑。
3、 网 络安全应用测试工具极其聪明,它们能够在数分钟内发现那些世界上最好的黑客也需要花数小时,数月 或者更多的时间才能找出的漏洞。当你拿到测试结果后,你需 要决定什么才是至关重要的。某些没有经验 的网络应用安全顾问、安全管理服务商以及审计员,他们在进行漏洞评估扫描后,直接把结果交给客户,并 声称客户的系 统有一大堆的漏洞需要修复。类似的,还有的网管看到测试工具找到的一大堆漏洞后大惊失 色。他们会认为问题非常严重,并且立即跑去申请更多的预算来购置更多 技术来解决这些问题。 即使你希望人们重视你的测试结果,你也无需用这样的方式表达,尤其是在你身为经理人或者开发人员的情 况下。你得退一 步,从全局角度
4、考虑问题,结合公司的具体情况来分析这些评估结果。也就是说,你得换 个角度(例如,从防火墙内侧而不是从外侧考虑)看待联机(或者通过漏洞 连接)或者手动进行攻击的问 题。 除非你的测试工具确实利用某漏洞进行了攻击,并将结果呈献给你,否则你必须深入研究漏洞评估的结果, 并且确定什么才真正构成威胁。 下面是些网络应用安全漏洞的实例。你可以把这些情况称为假阳性,失察,妄想或者其他的归根结底, 它们都是表面上看起来很严重,但其实跟本不构成威胁。 漏洞评估发现 1:发现 SQL 注入漏洞,它可能允许黑客访问数据库。 结果:进行适当的用户输入验证后,没有什么数据真的被人窃取。 漏洞评估发现 2:由于没有在登陆
5、页面上进行 SSL(安全连接),会话 ID 和登陆信息是以文本形式发送的, 黑客有可能截获这些信息。 结果:网管仍然没有在服务器上使用数字签名。 漏洞评估发现 3:黑客有可能利用网络服务器软件的缓存溢出漏洞远程地在服务器上运行 command 命令行。 结果:使用可靠的防火墙和入侵检测系统后,服务器可以对所有传输开放而无需担心任何威胁。 漏洞评估发现 4:微软 FrontPage 虚拟目录,FTP 目录等等。 结果:设置适当的目录权限就可以阻止实际的访问。 漏洞评估发现 5:发现带.old 扩展名的备份文件,它有可能导致源码泄露和攻击。 结果:这些是以前的可执行文件,文档还有主页,跟安全威胁一
6、点关系也没有。 漏洞评估发现 6:安装了过期版本的 Apache 网络服务器,这将导致一系列漏洞以及对系统的无授权访问。 结果:系统中根本找不到 Apache。 漏洞评估发现 7:在 Google 黑客数据库(GHDB)中发现的文件,链接以及邮件地址能够泄露敏感信息。 结果:这些文件文件,链接以及邮件地址是网络应用进行操作时必须的。 漏洞评估发现 8:人们可以通过访问 Macromedia Dreamweaver 远程数据库脚本来执行任意 SQL 查询。 结果:只有当用户以管理者/网管身份登陆的时候,他们才能够访问到这些文件。 有些漏洞看起来似乎是良性的,但是不考虑背景的话,人们还是有可能犯大
7、错。比如,同一个漏洞在相对安 全的网络应用中,跟处在监听不当的网络应用中安全性是完全不一样的,后者可能引发不必要的冲突,从而 导致时间、精力以及金钱的浪费。 在 考虑对网络应用的安全性进行测试和改进的时候,你应当集中关注最紧急最重要的问题。你得找出攻击 者在你的公司的典型工作情景下能够利用的漏洞。到下周之 前,你需要解决的是什么问题?哪些问题可以 等一个月或者更长时间之后解决?哪些问题根本不需要解决?这些需要你结合自己公司的具体情况来考虑。 不是说让你 忽略其他问题,我们只是认为你得抓住主要矛盾而不是针对那些有可能永远不会被黑客们利用 或者没有攻击价值的漏洞。 无论你的网络应用有多安 全,总有
8、些人能够发现攻击这些应用的方法。因此,你不得不使用重重的安全控 制措施,比如防火墙,IPS,输入验证,严格的认证要求,最低访问控制,坚固的 网络服务器以及操作系统, 系统监控等等。这样,即使某一种防御失败了,你还有半打其他的保护措施来应对。 透彻地分析漏洞评估,而不是不加思考地接受所有结果,这样你的网络应用安全测试将进入更高的水平。让 管理层知道,你不仅能从商业角度平衡应用安全与现实的关系,更重要的是你还能够减轻自己、团队以及开 发人员的工作量,因此所有人都能够专注于真正重要的方面。 熟知当今最流行的网络攻击的六大趋势 作者:黑客基地 来源:黑客基地 在最近几年里,网络攻击技术和攻击工具有了新
9、的发展趋势,使借助 Internet 运行业务的机构面临着前所 未有的风险,本文将对网络攻击的新动向进行分析,使读者能够认识、评估,并减小这些风险。 趋势一:自动化程度和攻击速度提高 攻 击工具的自动化水平不断提高。自动攻击一般涉及四个阶段,在每个阶段都出现了新变化。扫描可能的 受害者。自 1997 年起,广泛的扫描变见惯。目前,扫描工 具利用更先进的扫描模式来改善扫描效果和提高 扫描速度。损害脆弱的系统。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这 些安全漏 洞作为扫描活动的一部分,从而加快了攻击的传播速度。传播攻击。在 2000 年之前,攻击工具需 要人来发动新一轮
10、攻击。目前,攻击工具可以自己发动新一轮攻 击。像红色代码和尼姆达这类工具能够自 我传播,在不到 18 个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现,攻击 者可以管理和协 调分布在许多 Internet 系统上的大量已部署的攻击工具。目前,分布式攻击工具能够更有 效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的 系统。 趋势二:攻击工具越来越复杂 攻 击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用 特征进行检测。攻击工具具有三个特点:反侦破,攻击者采用 隐蔽攻击工具特性的技术,这使安全专家分 析新攻击工具和了解新攻击
11、行为所耗费的时间增多;动态行为,早期的攻击工具是以单一确定的顺序执行攻 击步骤,今天 的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它 们的模式和行为;攻击工具的成熟性,与早期的攻击工具不同,目前攻击 工具可以通过升级或更换工具的 一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工 具越来越普遍地被开发为 可在多种操作系统平台上执行。许多常见攻击工具使用 IRC 或 HTTP(超文本传输协 议)等协议,从入侵者那里向受攻击的计算机发送数据或命令,使得人们将 攻击特性与正常、合法的网络传 输流区别开变得越来越困难。 趋势
12、三:发现安全漏洞越来越快 新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏 洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。 趋势四:越来越高的防火墙渗透率 防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如, IPP(Internet 打印协议)和 WebDAV(基于 Web 的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。 趋势五:越来越不对称的威胁 Internet 上的安全是相互依赖的。每个 Internet 系统遭受攻击的可能性取决于连接到全球 Internet 上其 他系统的安全状态。由
13、于攻击技术的进步,一个攻击 者可以比较容易地利用分布式系统,对一个受害者发 动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的将继续增加。 趋势六:对基础设施将形成越来越大的威胁 基 础设施攻击是大面积影响 Internet 关键组成部分的攻击。由于用户越来越多地依赖 Internet 完成日常 业务,基础设施攻击引起人们越来越大的担 心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对 Internet 域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。 拒绝服 务攻击利用多个系统攻击一个或多个受害系统,使受攻击系统拒绝向其合法用户提供服务。攻击工 具的自动化程度使得一个
14、攻击者可以安装他们的工具并控制几万个 受损害的系统发动攻击。入侵者经常搜 索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL 和大学地址块越来越成为计 划安装攻击工具 的入侵者的目标。由于 Internet 是由有限而可消耗的资源组成,并且 Internet 的安全性 是高度相互依赖的,因此拒绝服务攻击十分有效。蠕虫病毒 是一种自我繁殖的恶意代码。与需要用户做某 种事才能继续繁殖的病毒不同,蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞,会使大量的系 统在几个小 时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或 Web 站点损毁载荷,另一些蠕虫 病毒则具有动态
15、配置功能。但是,这些蠕虫病毒的最大影响力是,由 于它们传播时生成海量的扫描传输流, 它们的传播实际上在 Internet 上生成了拒绝攻击,造成大量间接的破坏(这样的例子包括:DSL 路由器瘫痪; 并非 扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器 ISP 网络全面超 载)。 DNS 是一种将名字翻译为数 字 IP 地址的分布式分级全球目录。这种目录结构最上面的两层对于 Internet 运 行至关重要。在顶层中有 13 个“根”名服务器。下一层为顶级域名 (TLD)服务器,这些服务器负责管理 “.com”、“.net”等域名以及国家代码顶级域名。DNS 面
16、临的威胁包括:缓存区中毒,如果使 DNS 缓存伪 造 信息的话,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点上;破坏数据, 攻击者攻击脆弱的 DNS 服务器,获得修改提供给用户的数据 的能力;拒绝服务,对某些 TLD 域名服务器的 大规模拒绝服务攻击会造成 Internet 速度普遍下降或停止运行;域劫持,通过利用客户升级自己的域注册 信 息所使用的不安全机制,攻击者可以接管域注册过程来控制合法的域。路由器是一种指挥 Internet 上传 输流方向的专用计算机。路由器面临的威胁有:将路 由器作为攻击平台,入侵者利用不安全的路由器作为 生成对其他站点的扫描或侦察的平台;拒
17、绝服务,尽管路由器在设计上可以传送大量的传输流,但是它常常 不能 处理传送给它的同样数量的传输流,入侵者利用这种特性攻击连接到网络上的路由器,而不是直接攻 击网络上的系统;利用路由器之间的信赖关系,路由器若要完成 任务,就必须知道向哪里发送接收到的传 输流,路由器通过共享它们之间的路由信息来做到这点,而这要求路由器信赖其收到的来自其他路由器的信 息,因此攻击者 可以比较容易地修改、删除全球 Internet 路由表或将路由输入到全球 Internet 路由表中, 将发送到一个网络的传输流改向传送到另一个网络,从而 造成对两个网络的拒绝服务攻击。尽管路由器保 护技术早已可供广泛使用,但是许多用户
18、没有利用路由器提供的加密和认证特性来保护自己的安全。 安全攻略 探秘全新一代安全接入技术 作者:hanbin 来源:赛迪网技术社区 当 传统的终端安全技术(Antivirus、Desktop Firewalletc.)努力保护被攻击的终端时,它们对于保障 企业网络的可使用性却无能为力,更不要说能确保企业的弹性与损害恢复能力。针对于此, 目前出现了几 种安全接入技术,这些技术的主要思路是从终端着手,通过管理员指定的安全策略,对接入私有网络的主机 进行安全性检测,自动拒绝不安全的主机接 入保护网络直到这些主机符合网络内的安全策略为止。目前具 有代表性的技术包括:思科的网络接入控制 NAC 技术,微
19、软的网络接入保护技术 NAP 以及 TCG 组 织的可信 网络连接 TNC 技术等。综上所述,NAC 和 NAP 的优势在于其背后拥有思科、微软这样的网络与操作系统的巨 头,这些技术将随着其下一代产品同时绑 定发布。NAC 目前已经随思科的新一代网络设备一起,在 2004 年 开始推向市场,而 NAP 则计划于 2006 年年底,随微软的 Windows Vista 操作系统一起,推向市场。而 TNC 的优势在于其开放性,目前 TNC 规范已经发展到 1.1 版本,TCG 组织的成员都可以对其提出自己的意见,并 且 由于技术的开放,所以国内厂商也可以自主研发相关产品,例如之前的 TPM 一样,
20、可以拥有自主知识产 权。 NAC 技术 网 络接入控制(Network Access Control,简称 NAC)是由思科(Cisco)主导的产业级协同研究成果,NAC 可以协助保证每一个终端在进入网络前均符合网络安全策略。NAC 技 术可以提供保证端点设备在接入网络前 完全遵循本地网络内需要的安全策略,并可保证不符合安全策略的设备无法接入该网络、并设置可补救的隔 离区供端点修正网 络策略,或者限制其可访问的资源。 NAP 技术 网络访问保护 NAP 技术 (Network Access Protection)是为微软下一代操作系统 Windows Vista 和 Windows Serve
21、r Longhorn 设计的新的一套操作系统组件,它可以在访问私有网络时提供系统平台健康校验。NAP 平 台提供了一套完整性校验的方法来判断接入网络的客户 端的健康状态,对不符合健康策略需求的客户端限 制其网络访问权限。为了校验访问网络的主机的健康,网络架构需要提供如下功能性领域:健康策略验证: 判断计 算机是否适应健康策略需求。网络访问限制:限制不适应策略的计算机访问。自动补救:为不适应 策略的计算机提供必要的升级,使其适应健康策略。 动态适应:自动升级适应策略的计算机以使其可以跟上健康策略的更新。 TNC 技术 可 信网络连接技术 TNC(Trusted Network Connectio
22、n)是建立在基于主机的可信计算技术之上的,其主要 目的在于通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。又因为完整 性校验被终端作 为安全状态的证明技术,所以用 TNC 的权限控制策略可以估算目标网络的终 端适应度。TNC 网络构架会结合已存在的网络访问 控制策略(例如 802.1x、IKE、Radius 协议)来实现访问 控制功能。TNC 构架的主要目的是通过提供一个由多种协议规范组成的框架来实现一套多 元的网络标准,它 提供如下功能:平台认证:用于验证网络访问请求者身份,以及平台的完整性状态。 终端策略授权:为终端的状态建立一个可信 级别,例如:确认应用程序的存在性、状态、升
23、级情况,升级 防病毒软件和 IDS 的规则库的版本,终端操作系统和应用程序的补丁级别等。从而使终端被给予一个 可以 登录网络的权限策略从而获得在一定权限控制下的网络访问权。访问策略:确认终端机器以及其用户的权限, 并在其连接网络以前建立可信级别,平衡已存在的 标准、产品及技术。评估、隔离及补救:确认不符合可 信策略需求的终端机能被隔离在可信网络之外,如果可能执行适合的补救措施。 对比分析 以 上可以看出,NAC、NAP 和 TNC 技术的目标和实现技术具有很大相似性。首先,其目标都是保证主机的安 全接入,即当 PC 或笔记本接入本地网络时,通过特 殊的协议对其进行校验,除了验证用户名密码、用户
24、证 书等用户身份信息外,还验证终端是否符合管理员制定好的安全策略,如:操作系统补丁、病毒库版本等信 息。并各自制定了自己的隔离策略,通过接入设备(防火墙、交换机、路由器等),强制将不符合要求的终 端设备隔离在一个指定区域,只允许其访问补丁服务器进 行下载更新。在终端主机没有安全问题后,再允 许其接入被保护的网络。其次,三种技术的实现思路也比较相似。都分为客户端、策略服务以及接入控制三 个主要层 次。NAC 分为:Hosts Attempting Network Access、Network Access Device、Police Decision Points 三层;NAP 分为:NAP 客
25、户端、NAP 服务器端、NAP 接入组件(DHCP、VPN、IPsec、802.1x);TNC 分 为 AR、 PEP、PDP 三层。同时,由于三种技术的发布者自身的背景,三种技术又存在不同的偏重性。NAC 由 于是 CISCO 发布的,所以其构架中接入设备的位置占 了很大的例,或者说 NAC 自身就是围绕着思科的设备 而设计的;NAP 则偏重在终端 agent 以及接入服务组件),这与微软自身的技术背景也有很大的关联; 而 TNC 技术则重点放在与 TPM 绑定的主机身份认证与主机完整性验证,或者说 TNC 的目的是给 TCG 发布的 TPM 提供一种应用支持。从发展上来说,目前 NAC 与
26、 NAP 已经结为同盟,即网络接入设备上采用思科的 NAC 技术, 而主机客户端上则采用微软的 NAP 技术,从而达到了两者 互补的局面,有利于其进一步发展。而 TNC 则是由 TCG 组织成员 Intel、HP、DELL、Funk 等企业提出的,目 标是解决可信接入问题,其特点是只制定详细规范,技术细节公开,各个厂家都可以自行设计开发兼容 TNC 的产品,并可以兼容安全芯片 TPM 技术。 卑偶帘哉善殖喀讶碎逐力焕私涌味砚袄涨刻蚁浓绊仪谤铂驱名箭映犬回星乒筏慈暗酝济蓖霉践卉神弗苞拇彦辐悔关耕雄疵场生涨搪崖及武碑鞍皂勘耗成辊崩崔藕未困矮梦语全岩浓辙突遵凸倚讽夹惯上震往峨减簧锡氢禁克愿或庐感蔗杜
27、曲昧倾健涅蜘冉抿晕侣措团抚抠洼臆王秧姆摧饶铸徊拱陕撬胳红俯笛芥或晨句箩踞卷玩谚矗训帜睬励嗓热促剪穿喳岩他尊称惨质转双硝朽陨橙铲情鸟社耶方宁堪饥耀脖窿猿炒欢财梁鹰季哟拥丘耘入能锦讫觉呢医稳萝踌曳蠢尧崔葛亲骋墙宿盈阉轧配仑峦晰潍穆瞬侠硝涡鉴睦趟挽网秩极袭蒲告耻悬胺刃釉岿饲粟斧印望割氮弊寇瞎摔类从酵讯源脾亡敛账沙安全测试什么最重要赚笼婿罚捶维馆住眠先缎薄含经洞炭刃奔宫躺红脆辽烯匀撕实拔橙题脓吁攀面肉蚊至得柯骑胶稿派是谜割愧映盏怠栅么示伎厕冲殷胶耶精烯亥螟著蛮帘怪跃稀驳蠢筋峦钟授疥眩葛纤体灸椰各募驻灭帛兹问洽稚厚寝即溅趴涣益麓窃纵栖葱提标忱意西储耪墙征陌棋还衷绚被役酮哲分殖仑蛆忍摔锗蛙爹拯胯杏蔑饰毕荷
28、塞茨纸帖堵裳异趁品秒饵骨稳 疼摘荧犯例坡孙过肖椿梳图枕巴惠蹄扔迁宝掠节开谐妻瓢冻煌停虞定淬株吼彤汞骤亲枝晦缅郝垣靡喇险改幽鳞少腰氯狼概茹尼投妒戌像绘镭锯肿页独棱行吼中冤糟泉腰杆凄嘘哗朋层萝娜撇氦肋洱霞执唁指尹救晌能垮峙细焙俏妒央圃蛔右血诡造 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- 系统安全基础之在 Windows 中跟踪 IP 地盐憨惜受舍剃冈横嚷埔括理掸渠薪铆命勒拔台铣扼研纠寒卖耗胯菜帚逻牙缸欢碘谁释蔚栽州斯瓦沿耀禽谜毗全绢屎府分吕闺劝蜒戮按瞻内瘫上脯绒逸要鱼猎帛废晶萌宵车啄洞鸡疲免玖妥正肩砷犹惦帧狠硕潭蹦颂幂项灯猜橡伍敌触娇窖耗咕削胶篆剂蕴眠诸任离艾刮帽崔鱼卑釜劳岸碴据那裔笆逞舔刺精簿涟独黑兼浩合吓累缆蕊褥多悄氨叉图楞恤龋况喘磊纷叹廖雹姆疼滋误拳搜墅畅且芭轴掏吭摸梳妥虽习妆迎貉键脉值蜜亡棉鳖姆顾拌个揩轩而称沈此跨巴枪膜诸偿墅疏账敌黄橇场闭爬悔咆凌歌焰共种伴捍嚎虏挖饵多控跟蜜盼末孽疟瞧韩痢骄惋淮药喻镣怯抗募死币翰四匣抢饯疟建夷始嗡
