信息安全漏洞分類及學(xué)習(xí)

信息安全漏洞分類及介紹本文是一個安全漏洞相關(guān)的科普，介紹安全漏洞的概念認(rèn)識，漏洞在幾個維度上的分類及實例展示。1安全漏洞及相關(guān)的概念本節(jié)介紹什么是安全漏洞及相關(guān)的概況。安全漏洞的定義我們經(jīng)常聽到漏洞這個概念，可什么是安全漏洞？想給它一個清晰完整的定義其實是非常困難的。如果你去搜索一下對于漏洞的定義，基本上會發(fā)現(xiàn)高大上的學(xué)術(shù)界和講求實用的工業(yè)界各有各的說法，漏洞相關(guān)的各種角色，比如研究者、廠商、用戶，對漏洞的認(rèn)識也是非常不一致的。從業(yè)多年，我至今都找不到一個滿意的定義，于是我自己定義一個：安全漏洞是信息系統(tǒng)在生命周期的各個階段（設(shè)計、實現(xiàn)、運(yùn)維等過程）中產(chǎn)生的某類問題，這些問題會對系統(tǒng)的安全（機(jī)密性、完整性、可用性）產(chǎn)生影響。這是一個從研究者角度的偏狹義的定義，影響的主體范圍限定在了信息系統(tǒng)中，以盡量不把我們所不熟悉的對象扯進(jìn)來。漏洞之所以被描述為某種“問題”，是因為我發(fā)現(xiàn)無法簡單地用脆弱性、缺陷和Bug等概念來涵蓋它，而更象是這些概念的一個超集。漏洞會在系統(tǒng)生命周期內(nèi)的各個階段被引入進(jìn)來，比如設(shè)計階段引入的一個設(shè)計得非常容易被破解的加密算法，實現(xiàn)階段引入的一個代碼緩沖區(qū)溢出問題，運(yùn)維階段的一個錯誤的安全配置，這些都有可能最終成為漏洞。定義對安全的影響也只涉及狹義信息安全的三方面：機(jī)密性、完整性和可用性。漏洞造成的敏感信息泄露導(dǎo)致機(jī)密性的破壞；造成數(shù)據(jù)庫中的信息被非法篡改導(dǎo)致完整性的破壞；造成服務(wù)器進(jìn)程的崩潰導(dǎo)致可用性的喪失。漏洞也可能同時導(dǎo)致多個安全屬性的破壞。安全漏洞與Bug的關(guān)系漏洞與Bug漏洞與Bug并不等同，他們之間的關(guān)系基本可以描述為：大部分的Bug影響功能性，已知漏洞的數(shù)量各個漏洞數(shù)據(jù)庫和索引收錄了大量已知的安全漏洞，下表是一個主流漏洞庫的數(shù)量的大致估計，漏洞一般最早從20世紀(jì)90年代開始:漏洞條目庫特點(diǎn)數(shù)量漏洞條目庫特點(diǎn)數(shù)量URLSecurityFocus全揭露，帶SecurityFocus全揭露，帶POC>60000/bid/OSVDBSecuniaISSXForceCVECNVD數(shù)量最大，索引豐產(chǎn)品分類細(xì)描述信息專業(yè)最全的索引國內(nèi)的中文數(shù)據(jù)庫>100000/>58000>90000>60000>60000/community/advisories/OSVDBSecuniaISSXForceCVECNVD數(shù)量最大，索引豐產(chǎn)品分類細(xì)描述信息專業(yè)最全的索引國內(nèi)的中文數(shù)據(jù)庫>100000/>58000>90000>60000>60000/community/advisories///cve/cve.html/flaw/list.htm事實上，即便把未知的漏洞排除在外，只要訂了若干漏洞相關(guān)的郵件列表就會知道：并不是所有漏洞數(shù)據(jù)庫都會收錄，就算把上面的所列的數(shù)據(jù)庫中的所有條目加起來去重以后也只是收錄了一部分的已知漏洞而已，實際的已知漏洞數(shù)比總收錄的要高得多。2安全漏洞的分類和其他事物一樣，安全漏洞具有多方面的屬性，也就可以從多個維度對其進(jìn)行分類，重點(diǎn)關(guān)注基于技術(shù)的維度。注意，下面提到的所有分類并不是在數(shù)學(xué)意義上嚴(yán)格的，也就是說并不保證同一抽象層次、窮舉和互斥，而是極其簡化的出于實用為目的分類?；诶梦恢玫姆诸惐镜芈┒葱枰僮飨到y(tǒng)級的有效帳號登錄到本地才能利用的漏洞，主要構(gòu)成為權(quán)限提升類漏洞，即把自身的執(zhí)行權(quán)限從普通用戶級別提升到管理員級別。實例：LinuxKernel2.6udevNetlink消息驗證本地權(quán)限提升漏洞(CVE-2009-1185)攻擊者需要以普通用戶登錄到系統(tǒng)上，通過利用漏洞把自己的權(quán)限提升到root用戶，獲取對系統(tǒng)的完全控制。遠(yuǎn)程漏洞無需系統(tǒng)級的帳號驗證即可通過網(wǎng)絡(luò)訪問目標(biāo)進(jìn)行利用，這里強(qiáng)調(diào)的是系統(tǒng)級帳號，如果漏洞利用需要諸如FTP用戶這樣應(yīng)用級的帳號要求也算是遠(yuǎn)程漏洞。實例：-MicrosoftWindowsDCOMRPC接口長主機(jī)名遠(yuǎn)程緩沖區(qū)溢出漏洞(MS03-026)(CVE-2003-0352)攻擊者可以遠(yuǎn)程通過訪問目標(biāo)服務(wù)器的RPC服務(wù)端口無需用戶驗證就能利用漏洞，以系統(tǒng)權(quán)限執(zhí)行任意指令，實現(xiàn)對系統(tǒng)的完全控制?；谕{類型的分類獲取控制可以導(dǎo)致劫持程序執(zhí)行流程，轉(zhuǎn)向執(zhí)行攻擊者指定的任意指令或命令，控制應(yīng)用系統(tǒng)或操作系統(tǒng)。威脅最大，同時影響系統(tǒng)的機(jī)密性、完整性，甚至在需要的時候可以影響可用性。主要來源：內(nèi)存破壞類、CGI類漏洞獲取信息可以導(dǎo)致劫持程序訪問預(yù)期外的資源并泄露給攻擊者，影響系統(tǒng)的機(jī)密性。主要來源：輸入驗證類、配置錯誤類漏洞拒絕服務(wù)可以導(dǎo)致目標(biāo)應(yīng)用或系統(tǒng)暫時或永遠(yuǎn)性地失去響應(yīng)正常服務(wù)的能力，影響系統(tǒng)的可用性。主要來源：內(nèi)存破壞類、意外處理錯誤處理類漏洞?；诩夹g(shù)類型的分類基于漏洞成因技術(shù)的分類相比上述的兩種維度要復(fù)雜得多，對于目前我所見過的漏洞大致歸納為以下幾類：內(nèi)存破壞類邏輯錯誤類輸入驗證類設(shè)計錯誤類配置錯誤類以下是對這幾類漏洞的描述和實例分析。2.3.1內(nèi)存破壞類此類漏洞的共同特征是由于某種形式的非預(yù)期的內(nèi)存越界訪問（讀、寫或兼而有之），可控程度較好的情況下可執(zhí)行攻擊者指定的任意指令，其他的大多數(shù)情況下會導(dǎo)致拒絕服務(wù)或信息泄露。對內(nèi)存破壞類漏洞再細(xì)分下來源，可以分出如下這些子類型：棧緩沖區(qū)溢出堆緩沖區(qū)溢出靜態(tài)數(shù)據(jù)區(qū)溢出格式串問題越界內(nèi)存訪問釋放后重用二次釋放棧緩沖區(qū)溢出最古老的內(nèi)存破壞類型。發(fā)生在堆棧中的緩沖區(qū)溢出，由于利用起來非常穩(wěn)定，大多可以導(dǎo)致執(zhí)行任意指令，威脅很大。此類漏洞歷史非常悠久，1988年著名的Morris蠕蟲傳播手段之一就是利用了直照6「服務(wù)的一個棧緩沖區(qū)溢出漏洞。在2008年之前的幾乎所有影響面巨大的網(wǎng)絡(luò)蠕蟲也基本利用此類漏洞，匯總情況可以見下表：蠕蟲中文名MS公告CVEID漏洞名號號MS02-CVE-2002-MicrosoftSQLServer預(yù)驗證過程遠(yuǎn)程緩沖區(qū)溢Slammer蠕蟲王0561123出漏洞MS03-CVE-2003-MicrosoftWindowsDCOMRPC接口長主機(jī)名遠(yuǎn)程MSBlast沖擊波0260352緩沖區(qū)溢出漏洞MS04-CVE-2003-Sasser震蕩波0110533MicrosoftWindowsLSASS遠(yuǎn)程緩沖區(qū)溢出漏洞

飛客蠕飛客蠕MS08- CVE-2008-MicrosoftWindowsServer服務(wù)RPC請求緩沖區(qū)Conficker蟲067 4250 溢出漏洞上面表格里列出的蠕蟲即使經(jīng)過多年，在當(dāng)前的互聯(lián)網(wǎng)上還經(jīng)常被捕捉到。 棧溢出漏洞是相對比較容易發(fā)現(xiàn)的漏洞，靜態(tài)動態(tài)分析的方法對于此漏洞的挖掘已經(jīng)相當(dāng)成熟，因此這類漏洞，特別是服務(wù)端程序中，目前基本處于日漸消亡的狀態(tài)。 實例：-暴風(fēng)影音stormtray進(jìn)程遠(yuǎn)程棧緩沖區(qū)溢出漏洞長度檢查不充分的串連接操作。1002C9F4 1001C9F4E?81002C9F4 1001C9F4E?8醛KREF!sub^lOOIC?IO+JLCDJL001C9F4ita[ebp*s&raix(jZ]二次⑶F*?ai:LpS-txin-gS1D01C5FBKOV2d1&&1CA01pui^hcJkrLpjxs:i.nglr謁用函裁律人的攫穹;中國指釬1QQ1CA.02etllesi」mEEac;在哲總色i?5JGAC4[ttop*Lpf^^ingL]1QG1CJLO7啜中注I21steN10tUCJLOEpush■eex.;Lp5EKi.ngl1002CA0Fca-ll?31；IJtXCOCm-SunSolarissnoop(1M)工具遠(yuǎn)程指令執(zhí)行漏洞(CVE-2008-0964)無長度檢查的*printf調(diào)用。3S-C1 pg串3—￡[七口陰* "duicii.n占c rekAx3S-C1 pg串3—￡[七口陰* "duicii.n占c rekAx1343Ca.2"ri13T332T3-shir 294]j節(jié)的Mm胱Mm:重曾mi口"Hi32i113123.2-113.2-9SU7+IEElBUulLCQdWlIJ*J；|ve>3.^p i」手/上耳3!*卜』dpi3.rLLftM.LZ-kj"irxrTiiM--Il3"j.七虺"4EHLW)!」>tide4rgrx—://呵同意6fl!的強(qiáng)沖區(qū)不N氏H管冠的mrreh可以△過怕堵同u'-rjrrjii■i'rt-FE-r-ir■m■aa?a-5.241ZJiLlAieedc--A.Eik.->fl4f!lJ[1]aB元由gflagjiCr_3.? !4FsaMl*Th-?fItoQA4SERf￥ZR_RE3-likQSaZ；l4-NovelleDirectoryHTTPSTKWeb服務(wù)器棧溢出漏洞無長度檢查的memcpy調(diào)用。

DM3捷9514C我:CODEXREF;Jub^6-2-0O3&5L+F€aj旌時盹“3g+網(wǎng)工*le&p*?BH+var_60],3eaKji[eSpr7Sh*var8U】C7W?KraA 「怛近口令和確認(rèn)口等長度是杳相等62&03A9Dg工snortiocm62O03JLE031 ；方看二片_Kpush[ebp*7Bh4varSCJ;verd士總[003km3push[rbp*73h*vftr_86J;void*善2嚇93才八0SJO-O3AA3-dd七獨(dú)Och3MEtaj：Leax^.Csax方zaom帚9。工[乳口匚七工qU_6N13103kE062QD3久32—1 }dltt-E52003fts3w力[CGp-r1BEi-rVOr_3SJ:voifl"晶時磊由學(xué)62?03ABALc.pumE.5hieaxt(etop+-^ r耳4] .e&N r目標(biāo)爆沖區(qū),紅鴛股騏 ；不用長度性五應(yīng)工LU-cor?-FlashGetFTPPWD命令超長響應(yīng)棧溢出漏洞.tcK￡：oo4eees?la^saes?：；二CODEXRET:s^lSTSOO-kl7lDaj.tmsQOiBacaiBKV?,L[tsja+QF1h+var_GC].004BKCSBeb-Xj.|?i-9].C-aaCGOMaKSEtratcb-Kjtta-K,te3c:004eee?0JHjhcrticG^aeesi■XXGGX已生。421"[fDl?*2?T4h).004S8C65MV40hJ。達(dá)字節(jié)的棧遵泗區(qū)港等■text;004ISBC4DXWE4K?tsMC!oo4escsFM'V且&J..edje.OO^SSCllFMSB.巴鼻fflit!004ESC73MV生甚只.小舅-?3(七：004ESC75E?Ved.i;ed_x,fSSE：004SSC7?EMVedJt,■UHatese3004I3SC795Hreex,2 ；不加長支校專的灼見?tisMe3004BSC7C-ImatixXitamiIf-Modified-Since頭遠(yuǎn)程棧溢出漏洞。極其危險的sscanf類調(diào)用。□0444?&5DO441flS5lM_-mi655:CODEXSEF：j?ui_4444CL2-iDjOO44??551CA“JG[es￡-*73h*vaE^JTC]DO4-i4€&9lea之e*.[eisp*7日R*vae口價HH50eajcdM寸“B*lea之士父p(ses^*7Ch.>var3力；斐生涯菖的崔曖片區(qū).至間為時字書戶口血tax皿，於63Ou且澳edit□O444?￡4口gpu，第&ffsetaD3DDDI>f"Id.4gfcdRta:l&e@4電白通edB?XMF：生心MM“嶼a4亡dx 工SrcsU工注學(xué)崔曼黑班的HP陽"[?現(xiàn)禺一導(dǎo)致說出國慝區(qū)Q91it?4rFEQY6G疆『|■53ptffCh-*-va.E_>cj□Qdd*dde9Fri^hBorlandStarTeamMulticast服務(wù)用戶請求解析遠(yuǎn)程棧溢出漏洞(CVE-2008-0311)

-MicrosoftDirectShowMPEG2TuneRequest溢出漏洞(CVE-2008-0015)手抖，緩沖區(qū)的指針被當(dāng)做緩沖區(qū)本身被數(shù)據(jù)覆蓋溢出。1?4. e?M[e￡-|]?ippv-D*id|,puih. 心?量 JrvS*匚?堆緩沖區(qū)溢出導(dǎo)致堆緩沖區(qū)溢出的來源與棧溢出的一致，基本都是因為一些長度檢查不充分的數(shù)據(jù)操作，唯一不同的地方只是發(fā)生問題的對象不是在編譯階段就已經(jīng)確定分配的棧緩沖區(qū)，而是隨著程序執(zhí)行動態(tài)分配的堆塊。實例：-HPOpenViewNNMAccept-LanguageHTTP頭堆溢出漏洞(CVE-2009-0921)典型的先分配后使用的堆溢出問題。

tbf■Oftbf■Of中國JcmMD*rp.kXSCBSlflEqe,UAjlfl>LS-J.3ICBS193:3h a山g*翼Aw聲“】g E￡?li3BaiST*3-K304S-17IT[t^bp-*v*rbjfe?xFff*E科誓斗"工.?■露Ori耨，當(dāng)[tihK-19■fCB80”相Mil<MWjfEfitc=SiUris4M■“MHMOV[ebp*v<K_-i].e?xW*■昊9口號5寸FdV導(dǎo)望￡iUwx-tiJCj.[+t(p+M"*r好？**爾—mlCtJSJl3?照朝oriaec■?14aSUJ0BH1【2F』宙■=」］Ulg騁桃心dUULS&SE-fF1J=■!-□!：,LB=EIE"2SU心”T*生s白胃中r二百小附#CNFHWT”■皿f|M?幡|ii觸寄h十H iM3M57GallajHjfrBt p里對W尊衣堆在乍史BL7卓-irpj?PHP(pharextension)堆溢出漏洞堆溢出特有的溢出樣式：由于整數(shù)溢出引發(fā)Malloc小緩沖區(qū)從而最終導(dǎo)致堆溢出。靜態(tài)數(shù)據(jù)區(qū)溢出發(fā)生在靜態(tài)數(shù)據(jù)區(qū)BSS段中的溢出，非常少見的溢出類型。實例:SymantecpcAnyWhereawhost32遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2011-3478)

.xujj二二?？缮宪凇眅K,注如+5g口；費(fèi)收到用戶名字特占總長凄pwhecx ;C&unxEeJitiO^F5E9Sg晶W以 ：接收資的原嫡用戶名字挎窯.3后二mnhatfjec5ouice_0-xiOB_;含見衲目標(biāo)地批43器.fltfTTmrePT-Mil￡fc■比iSltlSYi導(dǎo)致總出me:"■""du占eg小me:"■""du占eg小*5|1可；津|3晤部口5口電1七尸 的db4EhlllUpO泊次儲的國昭發(fā)Dtibi0gn.dAta:Dii3K9：Edb-0.i]mt』：(Rl3n55CFiibu.data：04395500s0dba此n.oa□:M3剛M)3dbg.data:口野三9S5Dnno□. 酩馳5db□Mata：QiV305506此a?(3百七3：。的315M孑gD■Amt冷岫如帖如口db□口匚口：01|3的印9db0Icom在*printf類調(diào)用中由于沒有正確使用格式串參數(shù)，使攻擊者可以控制格式串的內(nèi)容操縱*printf調(diào)用越界訪問內(nèi)存。此類漏洞通過靜態(tài)或動態(tài)的分析方法可以相對容易地被挖掘出來，因此目前已經(jīng)很少能夠在使用廣泛的軟件中看到了。實例:QualcommQpopper2.53格式串處理遠(yuǎn)程溢出漏洞(CVE-2000-0442)

^defineBUFSIZEt*我們看到r 口"的第三個參數(shù)是SntaE器*/pop^tnag(POf-p>inuBuac,手口舊『血中工q同嗎&」,二)(一FOF*p;int f*POP#cii:usmdicixcr*/char-lomac； krontAtstrlagrortr* ■,charrtessaGelBUFSIZE];尸定文了一個BUF5m加”大小的緞沖區(qū)7vascarefap,Eorrtac);xxxk.2000d<it￡rxREr>..<rst^t/*Foxnctottiemessagebuffer*/nyp-iresaaae; f叫指向穌3gg門起始地址7AppendthexessaceCfcnta.t.t.ed,ifnecessary]■"/ii(format:){「運(yùn)里將變蓼即按照S二川匚的格式輸出到5所指向的強(qiáng)登的已［］中注里,這里沒有桂蜜拷貝歌揖曲大小！vsprmur(叩.vsprmur(叩.foriEaLjap);―uQTUJ.CQr想了解更多格式串漏洞的原理和利用，可以參考warning3在很早之前寫的文檔：*printf()格式化串安全漏洞分析/index.php?act=magazine&do=view&mid=533/index.php?act=magazine&do=view&mid=53越界內(nèi)存訪問程序盲目信任來自通信對方傳遞的數(shù)據(jù)，并以此作為內(nèi)存訪問的索引，畸形的數(shù)值導(dǎo)致越界的內(nèi)存訪問，造成內(nèi)存破壞或信息泄露。實例：-OpenSSLTLS心跳擴(kuò)展協(xié)議包遠(yuǎn)程信息泄露漏洞(CVE-2014-0160)漏洞是由于進(jìn)程不加檢查地使用通信對端提供的數(shù)據(jù)區(qū)長度值，按指定的長度讀取內(nèi)存返回，導(dǎo)致越界訪問到大塊的預(yù)期以外的內(nèi)存數(shù)據(jù)并返回，泄露包括用戶名、口令、SessionID甚至是私鑰等在內(nèi)的敏感信息。暫無圖片漏洞概念及分類〃src="/uploadfile/2014/0508/20140508110216384.png"style="display:block;"/>

釋放后重用這是目前最主流最具威脅的客戶端（特別是瀏覽器）漏洞類型，大多數(shù)被發(fā)現(xiàn)的利用0day漏洞進(jìn)行的水坑攻擊也幾乎都是這種類型，每個月各大瀏覽器廠商都在修復(fù)大量的此類漏洞。技術(shù)上說，此類漏洞大多來源于對象的引用計數(shù)操作不平衡，導(dǎo)致對象被非預(yù)期地釋放后重用，進(jìn)程在后續(xù)操作那些已經(jīng)被污染的對象時執(zhí)行攻擊者的指令。與上述幾類內(nèi)存破壞類漏洞的不同之處在于，此類漏洞的觸發(fā)基于對象的操作異常，而非基于數(shù)據(jù)的畸形異常（通常是不是符合協(xié)議要求的超長或畸形字段值），一般基于協(xié)議合規(guī)性的異常檢測不再能起作用，檢測上構(gòu)成極大的挑戰(zhàn)。-MicrosoftIE非法事件操作內(nèi)存破壞漏洞（CVE-2010-0249）著名的Aurora攻擊，涉嫌入侵包括Google在內(nèi)的許多大互聯(lián)網(wǎng)公司的行動，就使用了這個CVE-2010-0249這個典型的釋放后重用漏洞。functioninitialize()□bj=newArray();event_obj=null;-For1(vani=0;i<200;i+4)obj[i]=document.createElement("C-OMMEMT");functionevl(eut)=document.createEventobject(evt);document.getElementById(*'spl"),irnerHTML="";window.setlnterual(ev2jfunctionev2()vardata,tmp;data=tmp=unescapef"KuSaSaKuSaSa");For(vari=0;i<4j1++)data+=tmp;for(i=0;i<obj.lergtti:1++){obj[i].data=data;eventobj.srcElement; t} to魯黔二次釋放一般來源于代碼中涉及內(nèi)存使用和釋放的操作邏輯，導(dǎo)致同一個堆緩沖區(qū)可以被反復(fù)地釋放，最終導(dǎo)致的后果與操作系統(tǒng)堆管理的實現(xiàn)方式相關(guān)，很可能實現(xiàn)執(zhí)行任意指令。實例:-CVS遠(yuǎn)程非法目錄請求導(dǎo)致堆破壞漏洞(CVE-2003-0015)di￡ eh.{"亡/irepca，F(xiàn)ILE-t;si￡±e_edxr_lerasTOC\o"1-5"\h\z5?-vswri t：x i)■Js.■±E(His-EiaM1?MUlt.，，diz產(chǎn)《?拈罔的內(nèi)存可疑膿反復(fù)擇成litt rdLr_len"atflentdlr):itWi￡_len>0itdir[dir_l?-1J?vnif(<li^o_p-?fidL5ig,(80* Isprlntf[p^^diln^c-rxsrt&Ktr"E frrsor:anvilld.diMctorya^rsjclei看g1%dii?);srec^s^n:曲 ■juulla-e|scElefi[se?vsr +iSl*40JjIE(4ir=￡iaM■■wULii.里型器d工;19.上￡￡口空"EWCKSFi!HV7m5trBYIdlE.h?EE』3或KE dlr>：jcrcacKdlr_CMte.,"/"}; ; <tZTO.rnm2.3.2邏輯錯誤類涉及安全檢查的實現(xiàn)邏輯上存在的問題，導(dǎo)致設(shè)計的安全機(jī)制被繞過。實例：-RealVNC4.1.1驗證繞過漏洞(CVE-2006-2369)漏洞允許客戶端指定服務(wù)端并不聲明支持的驗證類型，服務(wù)端的驗證交互代碼存在邏輯問題。

Ru己1YN匚的RF三TR已mcit■已Flame三nff已門協(xié)議初始驗證過程1）服務(wù)滿發(fā)送其版本“RFB003.003\n^2）客戶端回復(fù)其版本“RFB003.003\n^3）服務(wù)端發(fā)送2個字節(jié)指示所提供安生類型的數(shù)覆3a）服務(wù)端發(fā)送字節(jié)數(shù)組提供安生類型的列表4）客戶端回復(fù)二個字節(jié)從Wa的數(shù)組中選擇一個安全類型5）如果需要的話，執(zhí)行握手操作，然后服務(wù)亭返回僅口口"。漏洞利用交互過程SeiveT->Client:52464220303033We30303B0a<-服務(wù)端版本Client_>Server:52在61Z20303033 30的33口曰<-看戶端旅未5ei?vei->C1ient:DICC<-提供一種噩證方式，睚代表比5挑戰(zhàn)響應(yīng)方式Client->Server:DI<-回應(yīng)并不在列表中的無需更證方式Sexvex->01ient:00400000 <-至證成功-Android應(yīng)用內(nèi)購買驗證繞過漏洞GooglePlay的應(yīng)用內(nèi)購買機(jī)制的實現(xiàn)上存在的漏洞，在用戶在Android應(yīng)用內(nèi)購買某些數(shù)字資產(chǎn)時會從Play市場獲取是否已經(jīng)付費(fèi)的驗證數(shù)據(jù)，對這塊數(shù)據(jù)的解析驗證的代碼存在邏輯問題，導(dǎo)致攻擊者可以繞過驗證不用真的付費(fèi)就能買到東西。驗證相關(guān)的代碼如下：l/erlftesth-atth^datoms與它grwdwitftthe-qtwensignatureamdreirufflstheweZfH加廣廣帖".的上小tnTf&M，珀鵬廿with43printstoy.Theefagfftwront^inrthe建ttfPureJ?Q5CiStfl,tr)andproductIDof pw?匚Zwh.,能wwr itfWytfie酣七催”"阿凱長虎。8tue為rv<ri力rin彖^jparcHHsignedOTtat/>rsignedJS&Tstringfsigifwd^mjtencrj/pteCTJ1figinaturethesC^nat^refcr-thedataj4d守nsJ LhtJpej>r{votekeypublicstatictoolEdinivirifjrfuircliase(5tr1ngbaseUPublic^e^p.String3dgic且40@比百/Stringsignature)(if(signeooata==null){ldg.t(TA￡r-tfata“Mill");returnfalsebooleanverifLed1■fMsejIfVT?wciliilK?pty(f48niturc)3(FvblisICcy■5<cu^iteneratePublLeK'ey-Cbasc64Pu^licUfcyJjtrifled-5?ur.v&r1fy(ke-y,slgudDjtajsljgiMTLH電)；ifciwriflea){Lq￡i*(TA5jiIgnituredoes葉曲match曲m」)：return-false}returntras; |j居代碼會先檢查回來的數(shù)據(jù)簽名是否為空，不空的話檢查簽名是否正確，如果不對返回失敗。問題在于如果簽名是空的話并沒有對應(yīng)的else邏輯分支來處理，會直接執(zhí)行最下面的returntrue操作，導(dǎo)致的結(jié)果是只要返回的消息中簽名為空就會返回驗證通過。2.3.3輸入驗證類漏洞來源都是由于對來自用戶輸入沒有做充分的檢查過濾就用于后續(xù)操作，絕大部分的CGI漏洞屬于此類。所能導(dǎo)致的后果，經(jīng)?？吹角彝{較大的有以下幾類：-SQL注入-跨站腳本執(zhí)行-遠(yuǎn)程或本地文件包含-命令注入-目錄遍歷SQL注入Web應(yīng)用對來自用戶的輸入數(shù)據(jù)未做充分檢查過濾，就用于構(gòu)造訪問后臺數(shù)據(jù)庫的SQL命令，導(dǎo)致執(zhí)行非預(yù)期的SQL操作，最終導(dǎo)致數(shù)據(jù)泄露或數(shù)據(jù)庫破壞。實例：-一個網(wǎng)站W(wǎng)eb應(yīng)用的數(shù)值參數(shù)的SQL注入漏洞。GET/wlsardyshir?dXaspZ&enerAlpe-rsoninf-o75rrPirsanoverview.asp?perm&n-5L&2St2ban酰jOdb_rane(，定geo--免partds?[http/j..1user-Agent:pangol-irVO-1HOir：胃3gAccept:"/*HTTP/l.I5-00rnt^rnal5^rv4fer^Oi1server;r^icrosffft-ns/S.O口n匚電二Thu.24Apr2Q0BOFJ:18(JflTX-Powered-5y:A.SF,NETCantem-Length;437Content-Type:tescthtCxpiresfTFisj.M3mn1$￡106:06:00川T5?-G<?Qkie；A5P55EQNIQA5TFHJA8P=N3PPPKNBAFADIOBfNi,NGPMBP；p?h=cacht'Cdntr&l:privatefac各1次"2>wp涮olcosPretldef'forODBCDriver/Fan<fo-ntfAce^'Ar1i31"'S?MOeO7r<Font>Jontface--Arial"fonrxfantface--"ArwF*ntfacc--AFiial'*也=N>[Mitralaft]EddbcsqtserverDriver][sqLServer]5yntaxsrrarconvertlngthenvarcharvafut'InfoSAftC'toacolurroiofdatatype5nt.Jontface--Arial"fonrxfantface--"Ar51 isard./5har<1/asp-.Xenervipersuninfo/strlai,1 Hre5^t/Font>

跨站腳本執(zhí)行（XSS）Web應(yīng)用對來自用戶的輸入數(shù)據(jù)未做充分檢查過濾，用于構(gòu)造返回給用戶瀏覽器的回應(yīng)數(shù)據(jù)，導(dǎo)致在用戶瀏覽器中執(zhí)行任意腳本代碼。3-XKrytWbcn/EVOauM?os實例：YouTube應(yīng)數(shù)據(jù)，導(dǎo)致在用戶瀏覽器中執(zhí)行任意腳本代碼。3-XKrytWbcn/EVOauM?os實例：YouTube上的一個存儲式XSS漏洞。遠(yuǎn)程或本地文件包含Oht:ps^A7wv/.h:b-idge.￡Qnn/pQC.k:-OperaFilsEditVi&wBookriarlc:V.'klcj&tLTool:H&lpO@Web www.htbridge.gcmtVPoC.twt | ▼Searchv><?phpinf口()；?>View0口咽OphpififioQ-Ope-raFiFeEditViewBookmarksWidgetnToolsHelp*W0-- ?hJa?GLO&ALS[g_cimfreitcftir)=https//ww?,htbr刊TSystemUnux S.20-31-geneTicB50-UDun1USMPFriSep718：17S6-UTC5O,BuUdDateSystemUnux S.20-31-geneTicB50-UDun1USMPFriSep718：17S6-UTC5O,BuUdDateSep1220121B：43：2BAPI岬力由占2.0HardierVirtualDirectory3叩印巾disabledCcnfiguraGonFile(phpJnl)Path/etcJjphpS/apactie2臼■ 0如果Web應(yīng)用支持在URL參數(shù)中指定服務(wù)器上的一個文件執(zhí)行一些處理，對來自客戶端URL數(shù)據(jù)及本地資源的訪問許可如果未做充分的檢查，攻擊者可能通過簡單的目錄遍歷串使應(yīng)用把Web主目錄以外的系統(tǒng)目錄下的文件包含進(jìn)來，很可能導(dǎo)致信息泄露。實例：-一個網(wǎng)站存在的本地文件包含的漏洞

PublictEc-aliliCaseReportFomiInftu皆n冷?PublictEc-aliliCaseReportFomiInftu皆n冷?H1N1麗晶2d皿二lews4gH”4]|0dr3￡_%同心gkTb工如:UM^.-H：gaurr.$Usrw?du[⑼IIC■l>^Irviu■(■n—qri，；n■jaflMmrHkjUh右HIU~gdE.E,■QMwahdn盤.LL-LW+t**lhL喇BMWlinqEM?Ai,命令注入涉及系統(tǒng)命令調(diào)用和執(zhí)行的函數(shù)在接收用戶的參數(shù)輸入時未做檢查過濾，或者攻擊者可以通過編碼及其他替換手段繞過安全限制注入命令串，導(dǎo)致執(zhí)行攻擊指定的命令。實例：-AWStats6.1及以下版本configdir變量遠(yuǎn)程執(zhí)行命令漏洞(CVE-2005-0116)典型的由于Perl語言對文件名特性的支持加入未充分檢查用戶輸入的問題，導(dǎo)致的命令注入漏洞，awstats.pl的1082行:if(open(CONFIG,”$searchdir$PROG.$SiteConfig.conf"))。I石E丁/caf-bin/iwsiats-xpl?cr)nfiqdir*[ediQjecliaaKOYYY；*?e224S￡2t174%2^183S2f1,! i5t^i1tK3M2e3fi2f115t^H3S2Q216%2elD2^e?12KZell5;echaSJOYYY；echo-lhttp/IlIHost!1.2.13,125 三us?r-Agent:roiilla/d.0 b1e;M5I&&.0;winidch^5mt5.1;目錄遍歷涉及系統(tǒng)用于生成訪問文件路徑用戶輸入數(shù)據(jù)時未做檢查過濾，并且對最終的文件絕對路徑的合法性檢查存在問題，導(dǎo)致訪問允許位置以外的文件。多見于CGI類應(yīng)用，其他服務(wù)類型也可能存在此類漏洞。

實例：-NovellSentinelLogManager“filename”參數(shù)目錄遍歷漏洞(CVE-2011-5028)/novelllogmanager/FileDownload?filename=/opt/novell/sentinel_log_mgr/3rdparty/tomcat/temp/../../../../../../etc/passwdHPDataProtectorMediaOperations08$6川6「.6*6目錄遍歷漏洞在HPDataprotecetorMediaOperations的客戶端連接服務(wù)端時，通過私訪有的通信協(xié)議，客戶端會首先檢查［系統(tǒng)分區(qū)］:/DocumentsandSettings/［用戶名］/ApplicationData下面是否有相應(yīng)的資源（如插件等），如果沒有，則會向服務(wù)器請求需要的文件，服務(wù)器沒有驗證請求的文件名的合法性，而且這個過程不需要任何驗證，攻擊者精心構(gòu)造文件名，可以讀取服務(wù)端安裝目錄所在分區(qū)的任意文件。00Q0□01000200030□0^0005000€0RHINOSOFTSERV-UFTPSERVER遠(yuǎn)程目錄遍歷漏洞220Serv-LJFTPServerv8.2reaueeranonymousBB1U5ernameokay,pl-easesendcompleteE-nai1addressa三pa55word.PASSueeranonymousBB1U5ernameokay,pl-easesendcompleteE-nai1addressa三pa55word.PASS230userloggedIn,proceed.PORT192,166,7,19,^,207200portcommand ul.NL5T-a..:\-：\--：\--：\--：\--：\--：\--：\*150openingasciimodedaxaconnecfionfor/bin/1s.226Transfcompl.0bytestransferred.0.00KB/sec.PORT192,166,7,1^,6,214200PORTCommandsucc-essful.nlst-a..:\\:\550 ：：Nosuchfl1eordirectory.PORT192,：L€8,7,29,6,2:15200portcommandsuccessful.NL5T-a.. ：\--：\--：\--：\--：\--：\--：\proqramf11es150openingasciimodiedaxaccnnecfionfor/din/1s.226Transfercompl.45bytestransferred.0.04KB/sec.PORT192,166,7,19,6,222200PORTCommandsuccessful.RETR..：\：..\--A■-A-■：\■：150openingasciimodiedata226Transfercompl.3bytPORT192,168,7,1^,^,225200portcommandsuccessful.5TOR.. .:150open-!ngaeciimodedata226Transfercomp!,3bytcwd .:/program250Directorychangedto/..PORT192,166,7,19,224200portcommand:succ由與占"ful.connectlon

estransfe9bo

ob

r-

prd

\oe

:frramfi1es\bb..c(3Bytes)..ODKE/sec.\..:\:\programf11es\8.2.cconnect!onfor8.Z.c.estransferred.0.LBf11EE/programf11KB/sec.Resin遠(yuǎn)程目錄遍歷漏洞(GET/X3O,.X5cv.fb--infyHTTP/l.l'HQSL：1口、Ifk 辦SOuser-Age-nt:^aziIla5,0(windg、；u；windowsnt5,2;zh-CM；rv;l,S,0.2)G?cko/200603-0SPirefox/l.S.O,.2Accept二rext/xml,appticatior/xml on『比h二他1-r工ml, q--Q.9,iqkc/plAin;q'°0.8,imagepng,-.;q-。.，Acceptzh-trd2h：q-o.SI^?ep^-￡n?cling;‘匕Sp.J名手［品Accepr'Charset:g62312,utf-5；q-0.7.*;q-0.7K^p-Allvi:孑口。cspn-ection:ke?p-a1iKTTP/1.2200OKServer:Resin/5.1.0Canr?nr-Type：Eear/htm'l;tharsei-?1sa-8859-1Tran-sfer-Encoding:chunked□ATC：Fri,IBMay3W>01:專心：t)王<MTOOdc<hcml>tfheatt>-st1recnaryof/.A*?b-irif7-tf/T：Hlt>*/heid><body>>o^fectcryof/..\web-1rif<ul>■slixmhref-'cli5ses5tlassesVa><11jkShre于='taip'AtBipy/a〉<11xahref-'vrforPc*>work</a>:打賓聯(lián)地小企 一 ugq^c隔

2.3.4設(shè)計錯誤類系統(tǒng)設(shè)計上對安全機(jī)制的考慮不足導(dǎo)致的在設(shè)計階段就已經(jīng)引入的安全漏洞。實例：-LMHASH算法脆弱性LM3占h生成過程；假沒要加密的明文口令為亡Isrcl;11.全部轉(zhuǎn)換豉大琴"WEL"'轉(zhuǎn)為二迸制率;^WELCCKE"-> 590934口QQQQQQ覺果明文口令不足逐字節(jié),則需要在其后滯加口用口補(bǔ)足L4字節(jié)..切割成西字節(jié)的數(shù)揖：分別筋小工_g_3￥1，函數(shù)處理蹲到兩組8字節(jié)的月G唾學(xué)9尸耳045一>亡彳_t電_工々￥{)->36A目丁夬玉49石i-OdtdtiOOodOOOt)-itr3ktyi)-> 白白向心心心力白t)t10t>白.用這兩組n7佛為加￡KE￥冠字苻率"的穌#”“進(jìn)行標(biāo)準(zhǔn)優(yōu)：昱加密Nj!GS 一>4B47SJM^n33242556AJS2SB3^?A3^SA-對4E4T5覺1例=32425進(jìn)行標(biāo)準(zhǔn)IgS加密->CJSIl3ASAlE^CeSF0-0OCOC00DO000000-對4B-5321WQ23瞿北5進(jìn)行厚屋DES加AAD3B43SBS1^0^EE將舵語后的這兩組數(shù)據(jù)葡單拼接,就得到了最后的LMH后/:口一^^紅解，總Sash：C23ei3AeAlE76-€SFAAD3B^3SB52*0eEE (FCj>/Sl這個算法至少存在以下3方面的弱點(diǎn):1、口令轉(zhuǎn)換為大寫極大地縮小了密鑰空間。2、切分出的兩組數(shù)據(jù)分別是獨(dú)立加密的，暴力破解時可以完全獨(dú)立并行。3、不足7字節(jié)的口令加密后得到的結(jié)果后半部分都是一樣的固定串，由此很容易判定口令長度。這些算法上的弱點(diǎn)導(dǎo)致攻擊者得到口令HASH后可以非常容易地暴力猜測出等價的明文口令。MicrosoftWindows圖形渲染引擎WMF格式代碼執(zhí)行漏洞(MS06-001)(CVE-2005-4560)如果一個WMF文件的StandardMetaRecord中，F(xiàn)unction被設(shè)置為