【软考】入侵检测系统FAQ（4）

　　 
　　【软考】入侵检测系统FAQ
   1.8.2 Web 服务器(server) 攻击

在CGI程序执行后,Web服务器可能有了其他的漏洞.非常多的self-written Web服务器(包括IIS 1.0 与 NetWare2.x)会因为在一 档案名之中,能把一连串的"../"写在路径(path)名里,因而跳到 系统档案 的其他地方,得到任何档案.其他的一般漏洞,就是在 请求(request)域(field) ,
或 其他 HTTP数据 的 缓冲区溢出.

Web服务器常因为与其底层的operating system有着互动的关系 ,而产生漏洞.在Microsoft IIS
里有个古老的漏洞被使用,因档案有两个档案名--一个 长档名与 一个短的相应8.3形式名 ,有时能绕过允许机制 而获得存取.NTFS (the new file system)有一个特色,名为--"alternate data streams" 相似于Macintosh系统的 数据与 资源 forks.你可以在通过streamname时,添加上"::$DATA"(这是为了看他的脚本而不是执行什么),来存取他的档案.服务器长久以来因URLs而存在着问题.例如"death by a thousand slashes"问题,导致Apache产生大量的CPU负载,因它试着在数以千计的"/" URL中处理每一个目录.

1.8.3 Web浏览器 攻击
Microsoft与Netscape的Web浏览器,都有安全漏洞(当然啦,虽然最新版本的,我们还没发现),这包括了URL, HTTP, HTML,JavaScript, Frames, Java, 与 ActiveX 攻击.

URL数据段,会有缓冲区溢位的情况,当它由HTTP标头(header)被解悉时,在屏幕上显示时,或于某种形式被处理(如由cache history储存).而且,有着古老Inte.netExplorer漏洞的在浏览器,在执行 LNK或URL命令时会伴随着能在内部造成影响的漏洞.

HTTP 头可能因为传递给只收特定值的函数而产生漏洞
HTML常会存在漏洞,如 MIME-type 缓冲区溢位 于Netscape Communicator的 <EMBED> 命令.

JavaScript长久以来都很受喜爱,并常常试着经由产生一个档名 与 自动地隐藏"SUBMIT" button
来侵害 "file upload" 函式 . 已有许多不同的这种漏洞被修正了,然而会有新发现的方法来绕过修正.

Frames 常如 JavaScript的一部份般, 或 Java hack来使用 经由一个象素大小的屏幕,把网页隐藏)但它们呈现了特别的问题.如 我能 包含一个连结 到一个可信赖的 使用者frames 的站点,然后以我自己站点的网页置换那些frames的一部份,于是它们将会以那个远程站点的一部份般 出现在你面前.

Java
有一个健全的安全模型(model),但经证实那个模型有着特殊的漏洞(虽然与其他的任何事物相比,它被证实是整个系统最为安全的元件之一).再者,它的健全安全性,也许是它的undoing:正常的Java applets 无法存取当地(local)系统,但有时,如果他们真能存取当地系统的话,它们将会更为有用.因此,"信任(trust)"模型的完成,更容易被入侵.

ActiveX 甚至比 Java更危险, 当它是由一个 信任模型纯粹运作并 执行 原有的(native)程序码. 你甚至会偶然地感染到病毒(virus)( 在贩售商的程序码中意外地被植入(imbeded)).

1.8.4 SMTP (SendMail) 攻击
SendMail 是一个极端复杂并被广泛使用的程序, 是以,它频为安全漏洞的来源. 在过去( '88 Morris Worm的时期),黑客 会利用 DEBUG 命令的漏洞 或 隐藏 WIZ 的特徵,来闯入 SMTP. 近来, 他们经常试着用 缓冲区溢位 手段.SMTP 也被用做侦察(reconnaissance) 攻击, 如利用
VRFY 命令找出使用者名子.

1.8.5 Aclearcase/" target="_blank" >ccess
失败的 login 企图,失败的档案存取企图, passwordcracking,管理者权力的滥用.

1.8.6 IMAP
使用者经由 IMAP 协定从服务器收email (在对比之下, SMTP 介于服务器之间传送e-mail ). 黑客已在一些受欢迎的IMAP服务器里发现漏洞.

1.8.7 IP spoofing
有些类型的攻击是利用技术来伪造(或 'spoof')你的IP地址.一个 原始地址 伴随着 每个IP包(packet)被传送时,实际上它可以不是被用于routing. 这表示当与服务器交谈(talkin)时,一个入侵者可以佯装成你 . 入侵者不会收到应答(response)包 (虽然你的机器有见到,但把他们丢弃了, 因为 它们不符合你之前传递的任何请求(request) ). 入侵者不会经由这种方式取得数据,
而是仍假装成你,传送命令给服务器.

IP spoofing 经常有如其他的攻击的部分般使用着:SMURF
以伪造的源地址广播方式ping,导致大量的机器应答,经由地址,回覆到 受害者, 使它 (或 它的连结)负载.

TCP序号预选
在 TCP连接 的起始, 你这端必须选择一个 序号, 而服务器端也必须选择一个序号. 较老的 TCP
栈选择一个可预测的有续数字, 而让入侵者由一个 伪造的IP地址(他们本来不应该看到应答包)想必能绕过安全机制.

DNS 通过可预知序号中毒

DNS服务器 会 "递归" 解析 DNS 名.因此,在它满足一个用户端 要求(request) 时,它本身也
成为递归链下个服务器的客户它使用的有序号是可预测的.因此, 一个入侵者可以传送 一个要求到DNS服务器 并传送一个 回应 到 服务器 以伪装成为 链结中的下一个服务器. 它会相信 伪装 回应, 并使用它来满足其他的用户端.

原文转自：http://www.ltesting.net