3.2 安全漏洞的檢測與修復

第2節(jié)安全漏洞的檢測與修復第3章目

錄01安全漏洞的檢測02安全漏洞的修復01安全漏洞的檢測安全漏洞檢測技術(shù)漏洞檢測分類已知漏洞的檢測未知漏洞的檢測已知漏洞的檢測主要是通過安全掃描技術(shù)，檢測系統(tǒng)是否存在已公布的安全漏洞未知漏洞檢測的目的在于發(fā)現(xiàn)軟件系統(tǒng)中可能存在但尚未發(fā)現(xiàn)的漏洞?，F(xiàn)有的未知漏洞檢測技術(shù)有以下幾種源代碼掃描反匯編掃描環(huán)境錯誤注入安全掃描也稱為脆弱性評估（VulnerabilityAssessment），其基本原理是采用模擬黑客攻擊的方式對目標可能存在的已知安全漏洞進行逐項檢測，可以對工作站、服務器、交換機、數(shù)據(jù)庫等各種對象進行安全漏洞檢測。安全漏洞掃描針對已知漏洞的檢測安全漏洞掃描原理源代碼掃描主要針對開放源代碼的程序，通過檢查程序中不符合安全規(guī)則的文件結(jié)構(gòu)、命名規(guī)則、函數(shù)、堆棧指針等，進而發(fā)現(xiàn)程序中可能隱含的安全缺陷。這種漏洞分析技術(shù)需要熟練掌握編程語言，并預先定義出不安全代碼的審查規(guī)則，通過表達式匹配的方法檢查源程序代碼。針對未知漏洞的檢測源代碼掃描源代碼掃描原理反匯編掃描反匯編掃描反匯編掃描對于不公開源代碼的程序來說往往是最有效的發(fā)現(xiàn)安全漏洞的辦法。分析反匯編代碼需要有豐富的經(jīng)驗，也可以使用輔助工具來幫助簡化這個過程，但不可能有一種完全自動的工具來完成這個過程。例如，利用反匯編程序IDA就可以得到目標程序的匯編腳本語言，再對匯編出來的腳本語言進行掃描，進而識別一些可疑的匯編代碼序列。環(huán)境錯誤注入環(huán)境錯誤注入總結(jié)環(huán)境錯誤注入指的是，在軟件運行的環(huán)境中故意注入人為的錯誤，并驗證反應，這是驗證計算機和軟件系統(tǒng)的容錯性、可靠性的一種有效方法。在測試過程中，錯誤被注入到環(huán)境中，所以產(chǎn)生了干擾。上述幾種檢測方法中，安全掃描技術(shù)主要是針對已知漏洞的檢測，后面三種主要是針對未知漏洞的檢測。對于未知漏洞的檢測，源代碼掃描、反匯編掃描屬于靜態(tài)檢測技術(shù)，而環(huán)境錯誤注入屬于動態(tài)檢測技術(shù)。02安全漏洞的修復漏洞修復前的準備常見漏洞修復的方法操作系統(tǒng)漏洞更新/升級版本、安裝補丁、安裝防火墻或其他安全防護設(shè)備應用程序漏洞更新/升級版本、安裝補丁Web網(wǎng)站漏洞修改源代碼、安裝WAF或其他安全防護設(shè)備什么是補?。繉τ诓僮飨到y(tǒng)而言，補?。≒atch）指的是：解決系統(tǒng)漏洞問題的程序。常見系統(tǒng)補丁分類高危漏洞補丁軟件安全更新補丁可選的高危漏洞補丁其他及功能性更新補丁無效補?。ㄒ堰^期補丁、已忽略補丁、已屏蔽補?。┞┒葱迯偷淖⒁馐马棡槭裁匆惭b補??？安裝補丁是漏洞修復的技術(shù)手段之一。數(shù)據(jù)顯示，及時安裝有效補丁可避免約95%的信息安全損失。補丁修復中存在的兩難問題打什么樣的補丁？——補丁質(zhì)量問題如何打補??？——操作方式問題什么時間打補?。俊迯蜁r機問題漏洞修復的方式WindowsMS17-010漏洞補丁文件01.手動補丁修復補丁存在方式的分類從文件類型角度以源代碼形式存在以二進制形式存在從內(nèi)存角度文件補?。ɡ溲a?。﹥?nèi)存補?。嵫a?。┤绾蜗螺d補丁01.手動補丁修復訪問/zh-cn/download/windows.aspx進入微軟補丁下載頁面漏洞修復的方式如何安裝補丁01.手動補丁修復在微軟官網(wǎng)下載補丁文件后，雙擊補丁程序，最后重啟系統(tǒng)即可。漏洞修復的方式打開漏洞修補工具（電腦管家、安全衛(wèi)士），找到“漏洞修復”功能即可下載。2.第三方軟件補丁修復如何下載補丁漏洞修復的方式2.第三方軟件補丁修復在漏洞修補工具（電腦管家、安全衛(wèi)士），單擊“安裝”按鈕，即可下載并安裝補丁。如何安裝補丁漏洞修復的方式漏洞檢測及修復案例永恒之藍是指2017年4月14日晚，黑客團體ShadowBrokers（影子經(jīng)紀人）公布一大批網(wǎng)絡攻擊工具，其中包含“永恒之藍”工具，“永恒之藍”利用Windows系統(tǒng)的SMB協(xié)議漏洞可以獲取系統(tǒng)最高權(quán)限。5月12日，不法分子通過改造“永恒之藍”制作了wannacry勒索病毒，英國、俄羅斯、整個歐洲以及中國國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復文件。MS17-010遠程溢出漏洞是SMB協(xié)議漏洞之一，是通過TCP端口445和139來利用SMBv1和NBT中的遠程代碼執(zhí)行漏洞。利用該漏洞，惡意代碼會掃描開放445文件共享端口的Windows機器，攻擊者可以不需要身份驗證就能夠獲得系統(tǒng)的SYSTEM權(quán)限，通過專門制作的數(shù)據(jù)包來執(zhí)行任意代碼。案例背景MetasploitFramework（簡稱MSF）是一款開源的安全漏洞檢測框架，可以幫助安全和IT專業(yè)人士識別安全性問題，提供真正的安全風險情報。模塊是通過Metasploit框架所裝載、集成并對外提供的最核心的滲透測試功能實現(xiàn)代碼。分為滲透攻擊模塊（Exploits)、輔助模塊（Aux)、攻擊載荷模塊（Payloads)、空指令模塊（Nops)、編碼器模塊（Encoders)、后滲透攻擊模塊（Post)。這些模塊擁有非常清晰的結(jié)構(gòu)和一個預定義好的接口，并可以組合支持信息收集、滲透攻擊與后滲透攻擊拓展。

MSF常用工具：

msfconsole（MSF接口，用于進入MSF框架）、msfvenom（可將攻擊載荷封裝成各種形式，如：exe、PHP、Java、apk、C、Python等）。前提準備漏洞檢測及修復案例STEP3STEP1STEP2注：有關(guān)漏洞檢測與修復的詳細操作步驟，請參閱第三章/Windows遠程代碼執(zhí)行漏洞檢測與修復.mp4MS17-010漏洞檢測與修復利用MSF掃描模塊檢測漏洞是否存在配置組策略禁止對445端口訪問（臨時修復）漏洞修復結(jié)果檢測安裝漏洞補?。ㄓ谰眯迯停┞┒葱迯徒Y(jié)果檢測STEP5STEP4漏洞檢測及修復案例本章介紹了安全漏洞的檢測及分析方法、安全漏洞的修復方法。常見安全漏洞檢測方法有