課程內容1安全設計與實現知識域知識子域物理與環境安全系統環境安全應用與數據安全網絡和通信安全課程內容1安全設計與實現知識域知識子域物理與環境安全系統環境知識子域：系統環境安全操作系統安全 了解操作系統標識與鑒別、訪問控制、權限管理、信道保護、安全審計、內存存取、文件保護等安全機制；了解安全補丁、最小化部署、遠程訪問控制、賬戶及口令策略、安全審計及其他操作系統配置要點；2知識子域：系統環境安全操作系統安全 2標識與鑒別Windows系統用戶信息管理存儲在注冊表中，運行期鎖定操作權限system，依靠系統服務進行訪問身份鑒別遠程鑒別SMB、LM、NTLM本地鑒別3SAM賬戶信息庫GINALSA標識與鑒別Windows系統用戶信息管理3SAM賬戶信息標識與鑒別Linux系統用戶信息管理用戶帳號文件(/etc/passwd)使用不可逆DES算法加密的用戶密碼散列（早期）文本格式、全局可讀影子文件(/etc/shadow)存儲存放用戶密碼散列、密碼管理信息等文本格式，僅對root可讀可寫4#root:$1$acQMceF9:13402:0:99999:7:::標識與鑒別Linux系統用戶信息管理4#root:$1$ac訪問控制Windows的訪問控制（ACL）訪問令牌（包含SID和特權列表）僅NTFS文件系統支持，權限存儲流中Linux下的訪問控制（ACL）需要文件系統格式支持權限類型：讀、寫、執行（UGO管理機制）權限表示方式：模式位5drwxr-xr-x3rootroot1024Sep1311:58test訪問控制Windows的訪問控制（ACL）5drwxr-xr權限管理Windows系統特權管理用戶帳戶控制（UAC）標準受限訪問令牌&完全訪問令牌Linux系統特權管理限制對root使用，su及sudo命令Suid位：任何用戶執行文件運行權限都為文件所有者組的權限6-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序權限管理Windows系統特權管理6-r-s--x--x信道保護正常信道的保護可信通路（TrustedPath）安全鍵（SAK）隱蔽信道保護7信道保護正常信道的保護7安全審計對系統中有關安全的活動進行記錄、檢查以及審核，一般是一個獨立的過程Windows系統的安全審計Windows日志（系統、應用程序、安全）應用程序和服務日志（IIS日志等）Linux系統的安全審計連接時間日志進程統計錯誤日志應用程序日志8安全審計對系統中有關安全的活動進行記錄、檢查以及審核，一般是內存保護與文件系統保護內存保護進程間/系統進程內存保護段式保護、頁式保護和段頁式保護文件系統保護機制訪問控制列表加密Windows(EFS、Bitlocker)Linux(eCryptfs)9內存保護與文件系統保護內存保護9操作系統安全配置安裝分區設置安全補丁&最新版本官方或可靠鏡像（Md5校驗）最小化部署明確需要的功能和組件，不需要的服務和功能都關閉遠程訪問控制開放端口遠程連接的限制10操作系統安全配置安裝10操作系統安全配置賬戶策略及密碼策略管理員更名并給予安全的口令好的口令特點：自己容易記、別人不好猜密碼策略（避免弱口令）密碼必須符合復雜性要求密碼長度最小值強制密碼歷史……帳號鎖定策略（應對暴力破解）帳戶鎖定時間帳戶鎖定閥值重置帳戶鎖定計數器11操作系統安全配置賬戶策略及密碼策略11密碼遠程暴力破解簡單但有效的攻擊方式利用人性懶惰的弱點12ID:cisppsw:123456Ok,youcanlogininID:cisppsw:No,youcannotloginin112123123412345123456OK,youcanlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotloginin密碼遠程暴力破解簡單但有效的攻擊方式12ID:cispps安全審計日志設置日志項、存儲空間、訪問權限日志服務器其他安全設置安全增強軟件（防病毒、主機入侵檢測、安全加固軟件等）針對操作系統特性的設置Windows關閉共享、自動播放功能Linux中默認創建文件權限等13安全審計日志設置13知識子域：系統環境安全信息收集與系統攻擊理解信息收集的概念及公開渠道信息收集、網絡服務信息收集的方式及防御措施；理解緩沖區溢出的基本概念及危害；理解緩沖區溢出攻擊的技術原理及防御措施。14知識子域：系統環境安全信息收集與系統攻擊14信息收集與情報分析信息收集的概念情報學中的一個領域互聯網時代信息技術的發展使得數據大量被生產出來信息收集的作用攻擊者通過信息收集獲取攻擊目標大概信息，為下一步攻擊做準備甚至利用收集的信息直接攻擊15信息收集與情報分析信息收集的概念15信息搜集和分析收集哪些信息目標系統的信息系統相關資料域名、網絡拓撲、操作系統、應用軟件、相關脆弱性目標系統的組織相關資料組織架構及關聯組織地理位置細節電話號碼、郵件等聯系方式近期重大事件員工簡歷其他可能令攻擊者感興趣的任何信息16信息搜集和分析收集哪些信息16公開信息收集-搜索引擎快速定位某開源軟件xxxx.jsp腳本存在漏洞，Google搜索“xxxx.jsp”可以找到存在此腳本的Web網站Google搜索“teweb/default.htm”就可找到開放著遠程Web連接的服務器信息挖掘定點采集Google搜索“.doc+website”挖掘信息隱藏信息.mdb、.ini、.txt、.old、.bak、.001……后臺入口17Howtohackwebsitewithgoogle!公開信息收集-搜索引擎快速定位17Howtohackw信息收集與分析網絡信息收集正常服務（如whois）系統功能Pingtracert信息信息收集服務旗標歡迎信息端口掃描TCP/IP協議指紋識別法18信息收集與分析網絡信息收集18信息收集與分析的防范公開信息收集防御信息展示最小化原則，不必要的信息不要發布網絡信息收集防御部署網絡安全設備（IDS、防火墻等）設置安全設備應對信息收集（阻止ICMP）系統及應用信息收集防御修改默認配置（旗標、端口等）減少攻擊面

19嚴防死守！信息收集與分析的防范公開信息收集防御19嚴防死守！系統攻擊-緩沖區溢出緩沖區溢出攻擊原理緩沖區溢出攻擊利用編寫不夠嚴謹的程序，通過向程序的緩沖區寫入超過預定長度的數據，造成緩存的溢出，從而破壞程序的堆棧，導致程序執行流程的改變緩沖區溢出的危害最大數量的漏洞類型漏洞危害等級高20國家漏洞庫（CNNVD）2013年漏洞統計系統攻擊-緩沖區溢出緩沖區溢出攻擊原理20國家漏洞庫（CNN緩沖區溢出基礎-堆棧、指針、寄存器堆棧概念一段連續分配的內存空間堆棧特點后進先出堆棧生長方向與內存地址方向相反指針指針是指向內存單元的地址寄存器暫存指令、數據和位址ESP（棧頂）、EBP（棧底）、EIP（返回地址）2134H12H78H56H0108HESP棧頂(AL)(AH)34H12H78H56H0106HESP棧頂緩沖區溢出基礎-堆棧、指針、寄存器堆棧概念2134H12H7緩沖區溢出簡單示例程序作用：將用戶輸入的內容打印在屏幕上22Buffer.c#include<stdio.h>intmain(){

charname[8];printf("Pleaseinputyourname:");gets(name);printf("younameis:%s!",name);return0;}緩沖區溢出簡單示例程序作用：將用戶輸入的內容打印在屏幕上22緩沖區溢出示例23用戶輸入內容在8位以內時候，程序正常執行用戶輸入內容超過8位以后，程序執行產生錯誤緩沖區溢出示例23用戶輸入內容在8位以內時候，程序正常執行用緩沖區溢出簡單示例24由于返回地址已經被覆蓋，函數執行返回地址時會將覆蓋內容當作返回地址，然后試圖執行相應地址的指令，從而產生錯誤。當我們全部輸入a時，錯誤指令地址為0x616161，0x61是a的ASCII編碼緩沖區溢出簡單示例24由于返回地址已經被覆蓋，函數執行返回地程序溢出堆棧情況25nameXXXEIPXXX[cispcisp][][][]nameXXXEIPXXX[aaaaaaaa][aaaa][aaaa][aaaa]堆棧頂部堆棧底部內存底部內存頂部正常狀態下的堆棧溢出狀態下的堆棧程序溢出堆棧情況25name緩沖區溢出攻擊過程如果可精確控制內存跳轉地址，就可以執行指定代碼，獲得權限或破壞系統26尋找程序漏洞編制緩沖區溢出程序精確控制跳轉地址執行設定的代碼獲得系統權限或破壞系統緩沖區溢出攻擊過程如果可精確控制內存跳轉地址，就可以執行指定緩沖區溢出的防范用戶補丁防火墻開發人員編寫安全代碼，對輸入數據進行驗證使用相對安全的函數系統緩沖區不可執行技術虛擬化技術27緩沖區溢出的防范用戶27知識子域：系統環境安全惡意代碼防護了解惡意代碼的概念及惡意代碼傳播的方式；理解惡意代碼的預防、檢測、分析、清除技術措施及相關概念；了解基于互聯網的惡意代碼防護概念；28知識子域：系統環境安全惡意代碼防護28什么是惡意代碼什么是惡意代碼《中華人民共和國計算機信息系統安全保護條例》第二十八條：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼(1994.2.18)惡意代碼，是指能夠引起計算機故障，破壞計算機數據，影響計算機系統的正常使用的程序代碼。指令類型二進制代碼、腳本語言、宏語言等表現形式病毒、蠕蟲、后門程序、木馬、流氓軟件、邏輯炸彈等29什么是惡意代碼什么是惡意代碼29惡意代碼傳播方式文件傳播感染移動介質網絡傳播網頁、電子郵件、即時通訊、共享、漏洞軟件部署邏輯炸彈預留后門文件捆綁30惡意代碼傳播方式文件傳播30惡意代碼的預防技術增強安全策略與意識減少漏洞補丁管理主機加固減輕威脅防病毒軟件間諜軟件檢測和刪除工具入侵檢測/入侵防御系統防火墻路由器、應用安全設置等31惡意代碼的預防技術增強安全策略與意識31惡意代碼檢測技術-特征碼掃描工作機制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優勢準確(誤報率低)易于管理不足效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要持續更新）……32惡意代碼檢測技術-特征碼掃描工作機制：特征匹配32惡意代碼檢測技術-行為檢測工作機制：基于統計數據惡意代碼行為有哪些行為符合度優勢能檢測到未知病毒不足誤報率高難點：病毒不可判定原則33惡意代碼檢測技術-行為檢測工作機制：基于統計數據33惡意代碼分析技術靜態分析不實際執行惡意代碼，直接對二進制代碼進行分析文件特性，如文件形態、版本、存儲位置、長度等文件格式，如PE信息、API調用等動態分析運行惡意代碼并使用監控及測試軟件分析本地行為：文件讀寫、注冊表讀寫等網絡行為：遠程訪問、調用等34惡意代碼分析技術靜態分析34惡意代碼的清除感染引導區修復/重建引導區感染文件附著型：逆向還原（從正常文件中刪除惡意代碼）替換型：備份還原（正常文件替換感染文件）獨立文件內存退出，刪除文件嵌入型更新軟件或系統重置系統35惡意代碼的清除感染引導區35基于互聯網技術的防御惡意代碼監測與預警體系蜜罐、蜜網惡意代碼云查殺分布式計算36基于互聯網技術的防御惡意代碼監測與預警體系36知識子域：應用與數據安全應用安全威脅理解應用系統安全威脅的多樣性概念；了解從不同角度對應用安全威脅的分類；Web應用體系了解應用安全體系構成及相關安全問題；理解HTTP協議工作機制及明文傳輸數據、弱驗證、無狀態等安全問題；了解WEB防火墻、網頁防篡改等常見Web安全防護技術作用；37知識子域：應用與數據安全應用安全威脅37應用安全威脅應用系統的復雜性和多樣性使得安全問題也呈現出多樣化的特點38終端用戶應用服務器數據庫服務器數據庫支撐服務軟件應用軟件應用協議應用客戶端應用安全威脅應用系統的復雜性和多樣性使得安全問題也呈現出多樣Web應用安全WEB服務器端安全問題（支撐軟件、應用程序）Web客戶端（瀏覽器）Web協議（Http）39終端用戶應用服務器數據庫服務器Web應用（IIS、Apache）……應用傳輸協議HTTP……應用客戶端瀏覽器（IE、Firefox）Web應用安全WEB服務器端安全問題（支撐軟件、應用程序）3HTTP協議HTTP(超文本傳輸協議)工作機制請求響應模式HTTP請求包含三個部分（方法URL協議/版本、請求頭部、請求正文）

HTTP響應包含三個部分（協議狀態代碼描敘、響應包頭、實體包）40HTTP請求HTTP響應HTTP協議HTTP(超文本傳輸協議)工作機制40HTTP請HTTP協議安全問題信息泄漏（傳輸數據明文）弱驗證（會話雙方沒有嚴格認證機制）http1.1提供摘要訪問認證機制，采用MD5將用戶名、密碼、請求包頭等進行封裝，但仍然不提供對實體信息的保護缺乏狀態跟蹤（請求響應機制決定http是一個無狀態協議）Session解決方案帶來的安全問題41HTTP協議安全問題信息泄漏（傳輸數據明文）41Web服務端軟件安全問題服務支撐軟件安全問軟件自身安全漏洞例：IIS5.0超長URL拒絕服務漏洞例：Unicode解碼漏洞軟件配置缺陷默認賬號、口令不安全的配置例：IIS配置允許遠程寫入應用軟件安全問題42Web服務端軟件安全問題服務支撐軟件安全問42Web安全防護技術Web防火墻工作在應用層基本功能審計并攔截HTTP數據流Web應用訪問控制Web應用加固網頁防篡改監控Web服務器上的頁面文件，防止被篡改機制備份文件對比、摘要文件對比、刪改操作觸發、系統底層過濾43Web安全防護技術Web防火墻43知識子域：應用與數據安全針對Web應用的攻擊理解SQL注入攻擊的原理及危害了解跨站腳本安全問題的原理及危害；了解失效的驗證和會話管理、不安全對象直接引用、跨站請求偽造、不安全配置管理、不安全密碼存儲、錯誤的訪問控制、傳輸保護不足、網址重定向、異常處理、拒絕服務攻擊等針對WEB的攻擊方式；44知識子域：應用與數據安全針對Web應用的攻擊44典型注入攻擊-SQL注入原理：程序沒有對用戶輸入數據的合法性進行判斷，使攻擊者可以繞過應用程序限制，構造一段SQL語句并傳遞到數據庫中，實現對數據庫的操作示例45adminABCDEFG!Select*fromtablewhereuser=‘admin’andpwd=‘ABCDEFG!’;Select*fromtablewhereuser=‘admin’andpwd=‘123’or‘1=1’admin123’or‘1=1由于密碼的輸入方式，使得查詢語句返回值永遠為True，因此通過驗證！典型注入攻擊-SQL注入原理：程序沒有對用戶輸入數據的合法性SQL注入攻擊可以傳遞到數據庫的數據都是攻擊對象示例http:///showdetail.asp?id=49’And(updateusersetpasswd=‘123’whereusername=‘admin’);--Select*from表名where字段=’49’And(updateusersetpasswd=‘123’whereusername=‘admin’);46非法的SQL語句被傳遞到數據庫中執行！SQL注入攻擊可以傳遞到數據庫的數據都是攻擊對象46非法的SSQL注入的危害數據庫信息收集數據檢索操作數據庫增加數據刪除數據更改數據操作系統借助數據庫某些功能（例如：SQLServer的內置存儲過程XP_CMDShell）47SQL注入的危害數據庫信息收集47SQL注入的防御防御的對象：所有外部傳入數據用戶的輸入提交的URL請求中的參數部分從cookie中得到的數據其他系統傳入的數據防御的方法白名單：限制傳遞數據的格式黑名單：過濾過濾特殊字串：update、insert、delete等開發時過濾特殊字符：單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符部署防SQL注入系統或腳本48SQL注入的防御防御的對象：所有外部傳入數據48針對Web應用的攻擊-跨站腳本原理由于程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉換，使得腳本可被執行，攻擊者可以利用用戶和服務器之間的信任關系實現惡意攻擊危害敏感信息泄露、賬號劫持、Cookie欺騙、拒絕服務、釣魚等防范不允許HTML中腳本運行對所有腳本進行嚴格過濾49針對Web應用的攻擊-跨站腳本原理49電子郵件安全POP3/SMTP協議工作機制簡單的請求響應模式安全問題信息泄漏（用戶帳號密碼、郵件內容）身份驗證不足（社會工程學攻擊、垃圾郵件）安全解決服務器端安全郵件協議使用SSL保護會話安全策略客戶端50電子郵件安全POP3/SMTP協議工作機制50其他互聯網應用安全遠程接入域名系統即時通信51其他互聯網應用安全遠程接入51數據庫安全措施用戶標識與鑒別授權與訪問控制數據加密安全審計……52數據庫安全措施用戶標識與鑒別52數據庫安全防護檢查、監控、審計53數據庫安全防護檢查、監控、審計53數據庫安全防護-構建深度防御體系安全機制標識與鑒別、訪問控制、傳輸加密、審計等安全策略密碼策略、備份策略等54DBSQL請求用戶標識與鑒別DBMS存取控制數據加密審計追蹤各種應用安全邊界查詢引擎DBMS選件事務引擎數據庫安全防護-構建深度防御體系安全機制54DBSQL用戶標數據庫安全防護-安全特性檢查數據庫系統漏洞數據庫配置缺陷55知識庫檢測引擎服務掃描滲透測試安全審計漏洞利用審計報告檢測人員策略專家配置檢測策略掃描數據庫服務外部滲透性測試進行全面的安全審計掃描分析審計結果，設計漏洞利用方式生成一份詳細的審計報告制定檢測策略從策略庫中選擇檢測策略數據庫安全防護-安全特性檢查數據庫系統漏洞55知識庫檢測引擎數據庫安全特性檢查安全配置補丁協議（端口、傳輸協議）賬號用戶名及密碼口令策略權限存儲過程觸發器備份56數據庫安全特性檢查安全配置56數據庫安全防護-運行監控入侵檢測數據庫審計57數據庫安全防護-運行監控入侵檢測57課程內容58安全設計與實現知識域知識子域物理與環境安全系統環境安全應用與數據安全網絡和通信安全課程內容1安全設計與實現知識域知識子域物理與環境安全系統環境知識子域：系統環境安全操作系統安全 了解操作系統標識與鑒別、訪問控制、權限管理、信道保護、安全審計、內存存取、文件保護等安全機制；了解安全補丁、最小化部署、遠程訪問控制、賬戶及口令策略、安全審計及其他操作系統配置要點；59知識子域：系統環境安全操作系統安全 2標識與鑒別Windows系統用戶信息管理存儲在注冊表中，運行期鎖定操作權限system，依靠系統服務進行訪問身份鑒別遠程鑒別SMB、LM、NTLM本地鑒別60SAM賬戶信息庫GINALSA標識與鑒別Windows系統用戶信息管理3SAM賬戶信息標識與鑒別Linux系統用戶信息管理用戶帳號文件(/etc/passwd)使用不可逆DES算法加密的用戶密碼散列（早期）文本格式、全局可讀影子文件(/etc/shadow)存儲存放用戶密碼散列、密碼管理信息等文本格式，僅對root可讀可寫61#root:$1$acQMceF9:13402:0:99999:7:::標識與鑒別Linux系統用戶信息管理4#root:$1$ac訪問控制Windows的訪問控制（ACL）訪問令牌（包含SID和特權列表）僅NTFS文件系統支持，權限存儲流中Linux下的訪問控制（ACL）需要文件系統格式支持權限類型：讀、寫、執行（UGO管理機制）權限表示方式：模式位62drwxr-xr-x3rootroot1024Sep1311:58test訪問控制Windows的訪問控制（ACL）5drwxr-xr權限管理Windows系統特權管理用戶帳戶控制（UAC）標準受限訪問令牌&完全訪問令牌Linux系統特權管理限制對root使用，su及sudo命令Suid位：任何用戶執行文件運行權限都為文件所有者組的權限63-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序權限管理Windows系統特權管理6-r-s--x--x信道保護正常信道的保護可信通路（TrustedPath）安全鍵（SAK）隱蔽信道保護64信道保護正常信道的保護7安全審計對系統中有關安全的活動進行記錄、檢查以及審核，一般是一個獨立的過程Windows系統的安全審計Windows日志（系統、應用程序、安全）應用程序和服務日志（IIS日志等）Linux系統的安全審計連接時間日志進程統計錯誤日志應用程序日志65安全審計對系統中有關安全的活動進行記錄、檢查以及審核，一般是內存保護與文件系統保護內存保護進程間/系統進程內存保護段式保護、頁式保護和段頁式保護文件系統保護機制訪問控制列表加密Windows(EFS、Bitlocker)Linux(eCryptfs)66內存保護與文件系統保護內存保護9操作系統安全配置安裝分區設置安全補丁&最新版本官方或可靠鏡像（Md5校驗）最小化部署明確需要的功能和組件，不需要的服務和功能都關閉遠程訪問控制開放端口遠程連接的限制67操作系統安全配置安裝10操作系統安全配置賬戶策略及密碼策略管理員更名并給予安全的口令好的口令特點：自己容易記、別人不好猜密碼策略（避免弱口令）密碼必須符合復雜性要求密碼長度最小值強制密碼歷史……帳號鎖定策略（應對暴力破解）帳戶鎖定時間帳戶鎖定閥值重置帳戶鎖定計數器68操作系統安全配置賬戶策略及密碼策略11密碼遠程暴力破解簡單但有效的攻擊方式利用人性懶惰的弱點69ID:cisppsw:123456Ok,youcanlogininID:cisppsw:No,youcannotloginin112123123412345123456OK,youcanlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotloginin密碼遠程暴力破解簡單但有效的攻擊方式12ID:cispps安全審計日志設置日志項、存儲空間、訪問權限日志服務器其他安全設置安全增強軟件（防病毒、主機入侵檢測、安全加固軟件等）針對操作系統特性的設置Windows關閉共享、自動播放功能Linux中默認創建文件權限等70安全審計日志設置13知識子域：系統環境安全信息收集與系統攻擊理解信息收集的概念及公開渠道信息收集、網絡服務信息收集的方式及防御措施；理解緩沖區溢出的基本概念及危害；理解緩沖區溢出攻擊的技術原理及防御措施。71知識子域：系統環境安全信息收集與系統攻擊14信息收集與情報分析信息收集的概念情報學中的一個領域互聯網時代信息技術的發展使得數據大量被生產出來信息收集的作用攻擊者通過信息收集獲取攻擊目標大概信息，為下一步攻擊做準備甚至利用收集的信息直接攻擊72信息收集與情報分析信息收集的概念15信息搜集和分析收集哪些信息目標系統的信息系統相關資料域名、網絡拓撲、操作系統、應用軟件、相關脆弱性目標系統的組織相關資料組織架構及關聯組織地理位置細節電話號碼、郵件等聯系方式近期重大事件員工簡歷其他可能令攻擊者感興趣的任何信息73信息搜集和分析收集哪些信息16公開信息收集-搜索引擎快速定位某開源軟件xxxx.jsp腳本存在漏洞，Google搜索“xxxx.jsp”可以找到存在此腳本的Web網站Google搜索“teweb/default.htm”就可找到開放著遠程Web連接的服務器信息挖掘定點采集Google搜索“.doc+website”挖掘信息隱藏信息.mdb、.ini、.txt、.old、.bak、.001……后臺入口74Howtohackwebsitewithgoogle!公開信息收集-搜索引擎快速定位17Howtohackw信息收集與分析網絡信息收集正常服務（如whois）系統功能Pingtracert信息信息收集服務旗標歡迎信息端口掃描TCP/IP協議指紋識別法75信息收集與分析網絡信息收集18信息收集與分析的防范公開信息收集防御信息展示最小化原則，不必要的信息不要發布網絡信息收集防御部署網絡安全設備（IDS、防火墻等）設置安全設備應對信息收集（阻止ICMP）系統及應用信息收集防御修改默認配置（旗標、端口等）減少攻擊面

76嚴防死守！信息收集與分析的防范公開信息收集防御19嚴防死守！系統攻擊-緩沖區溢出緩沖區溢出攻擊原理緩沖區溢出攻擊利用編寫不夠嚴謹的程序，通過向程序的緩沖區寫入超過預定長度的數據，造成緩存的溢出，從而破壞程序的堆棧，導致程序執行流程的改變緩沖區溢出的危害最大數量的漏洞類型漏洞危害等級高77國家漏洞庫（CNNVD）2013年漏洞統計系統攻擊-緩沖區溢出緩沖區溢出攻擊原理20國家漏洞庫（CNN緩沖區溢出基礎-堆棧、指針、寄存器堆棧概念一段連續分配的內存空間堆棧特點后進先出堆棧生長方向與內存地址方向相反指針指針是指向內存單元的地址寄存器暫存指令、數據和位址ESP（棧頂）、EBP（棧底）、EIP（返回地址）7834H12H78H56H0108HESP棧頂(AL)(AH)34H12H78H56H0106HESP棧頂緩沖區溢出基礎-堆棧、指針、寄存器堆棧概念2134H12H7緩沖區溢出簡單示例程序作用：將用戶輸入的內容打印在屏幕上79Buffer.c#include<stdio.h>intmain(){

charname[8];printf("Pleaseinputyourname:");gets(name);printf("younameis:%s!",name);return0;}緩沖區溢出簡單示例程序作用：將用戶輸入的內容打印在屏幕上22緩沖區溢出示例80用戶輸入內容在8位以內時候，程序正常執行用戶輸入內容超過8位以后，程序執行產生錯誤緩沖區溢出示例23用戶輸入內容在8位以內時候，程序正常執行用緩沖區溢出簡單示例81由于返回地址已經被覆蓋，函數執行返回地址時會將覆蓋內容當作返回地址，然后試圖執行相應地址的指令，從而產生錯誤。當我們全部輸入a時，錯誤指令地址為0x616161，0x61是a的ASCII編碼緩沖區溢出簡單示例24由于返回地址已經被覆蓋，函數執行返回地程序溢出堆棧情況82nameXXXEIPXXX[cispcisp][][][]nameXXXEIPXXX[aaaaaaaa][aaaa][aaaa][aaaa]堆棧頂部堆棧底部內存底部內存頂部正常狀態下的堆棧溢出狀態下的堆棧程序溢出堆棧情況25name緩沖區溢出攻擊過程如果可精確控制內存跳轉地址，就可以執行指定代碼，獲得權限或破壞系統83尋找程序漏洞編制緩沖區溢出程序精確控制跳轉地址執行設定的代碼獲得系統權限或破壞系統緩沖區溢出攻擊過程如果可精確控制內存跳轉地址，就可以執行指定緩沖區溢出的防范用戶補丁防火墻開發人員編寫安全代碼，對輸入數據進行驗證使用相對安全的函數系統緩沖區不可執行技術虛擬化技術84緩沖區溢出的防范用戶27知識子域：系統環境安全惡意代碼防護了解惡意代碼的概念及惡意代碼傳播的方式；理解惡意代碼的預防、檢測、分析、清除技術措施及相關概念；了解基于互聯網的惡意代碼防護概念；85知識子域：系統環境安全惡意代碼防護28什么是惡意代碼什么是惡意代碼《中華人民共和國計算機信息系統安全保護條例》第二十八條：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼(1994.2.18)惡意代碼，是指能夠引起計算機故障，破壞計算機數據，影響計算機系統的正常使用的程序代碼。指令類型二進制代碼、腳本語言、宏語言等表現形式病毒、蠕蟲、后門程序、木馬、流氓軟件、邏輯炸彈等86什么是惡意代碼什么是惡意代碼29惡意代碼傳播方式文件傳播感染移動介質網絡傳播網頁、電子郵件、即時通訊、共享、漏洞軟件部署邏輯炸彈預留后門文件捆綁87惡意代碼傳播方式文件傳播30惡意代碼的預防技術增強安全策略與意識減少漏洞補丁管理主機加固減輕威脅防病毒軟件間諜軟件檢測和刪除工具入侵檢測/入侵防御系統防火墻路由器、應用安全設置等88惡意代碼的預防技術增強安全策略與意識31惡意代碼檢測技術-特征碼掃描工作機制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優勢準確(誤報率低)易于管理不足效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要持續更新）……89惡意代碼檢測技術-特征碼掃描工作機制：特征匹配32惡意代碼檢測技術-行為檢測工作機制：基于統計數據惡意代碼行為有哪些行為符合度優勢能檢測到未知病毒不足誤報率高難點：病毒不可判定原則90惡意代碼檢測技術-行為檢測工作機制：基于統計數據33惡意代碼分析技術靜態分析不實際執行惡意代碼，直接對二進制代碼進行分析文件特性，如文件形態、版本、存儲位置、長度等文件格式，如PE信息、API調用等動態分析運行惡意代碼并使用監控及測試軟件分析本地行為：文件讀寫、注冊表讀寫等網絡行為：遠程訪問、調用等91惡意代碼分析技術靜態分析34惡意代碼的清除感染引導區修復/重建引導區感染文件附著型：逆向還原（從正常文件中刪除惡意代碼）替換型：備份還原（正常文件替換感染文件）獨立文件內存退出，刪除文件嵌入型更新軟件或系統重置系統92惡意代碼的清除感染引導區35基于互聯網技術的防御惡意代碼監測與預警體系蜜罐、蜜網惡意代碼云查殺分布式計算93基于互聯網技術的防御惡意代碼監測與預警體系36知識子域：應用與數據安全應用安全威脅理解應用系統安全威脅的多樣性概念；了解從不同角度對應用安全威脅的分類；Web應用體系了解應用安全體系構成及相關安全問題；理解HTTP協議工作機制及明文傳輸數據、弱驗證、無狀態等安全問題；了解WEB防火墻、網頁防篡改等常見Web安全防護技術作用；94知識子域：應用與數據安全應用安全威脅37應用安全威脅應用系統的復雜性和多樣性使得安全問題也呈現出多樣化的特點95終端用戶應用服務器數據庫服務器數據庫支撐服務軟件應用軟件應用協議應用客戶端應用安全威脅應用系統的復雜性和多樣性使得安全問題也呈現出多樣Web應用安全WEB服務器端安全問題（支撐軟件、應用程序）Web客戶端（瀏覽器）Web協議（Http）96終端用戶應用服務器數據庫服務器Web應用（IIS、Apache）……應用傳輸協議HTTP……應用客戶端瀏覽器（IE、Firefox）Web應用安全WEB服務器端安全問題（支撐軟件、應用程序）3HTTP協議HTTP(超文本傳輸協議)工作機制請求響應模式HTTP請求包含三個部分（方法URL協議/版本、請求頭部、請求正文）

HTTP響應包含三個部分（協議狀態代碼描敘、響應包頭、實體包）97HTTP請求HTTP響應HTTP協議HTTP(超文本傳輸協議)工作機制40HTTP請HTTP協議安全問題信息泄漏（傳輸數據明文）弱驗證（會話雙方沒有嚴格認證機制）http1.1提供摘要訪問認證機制，采用MD5將用戶名、密碼、請求包頭等進行封裝，但仍然不提供對實體信息的保護缺乏狀態跟蹤（請求響應機制決定http是一個無狀態協議）Session解決方案帶來的安全問題98HTTP協議安全問題信息泄漏（傳輸數據明文）41Web服務端軟件安全問題服務支撐軟件安全問軟件自身安全漏洞例：IIS5.0超長URL拒絕服務漏洞例：Unicode解碼漏洞軟件配置缺陷默認賬號、口令不安全的配置例：IIS配置允許遠程寫入應用軟件安全問題99Web服務端軟件安全問題服務支撐軟件安全問42Web安全防護技術Web防火墻工作在應用層基本功能審計并攔截HTTP數據流Web應用訪問控制Web應用加固網頁防篡改監控Web服務器上的頁面文件，防止被篡改機制備份文件對比、摘要文件對比、刪改操作觸發、系統底層過濾100Web安全防護技術Web防火墻43知識子域：應用與數據安全針對Web應用的攻擊理解SQL注入攻擊的原理及危害了解跨站腳本安全問題的原理及危害；了解失效的驗證和會話管理、不安全對象直接引用、跨站請求偽造、不安全配置管理、不安全密碼存儲、錯誤的訪問控制、傳輸保護不足、網址重定向、異常處理、拒絕服務攻擊等針對WEB的攻擊方式；101知識子域：應用與數據安全針對Web應用的攻擊44典型注入攻擊-SQL注入原理：程序沒有對用戶輸入數據的合法性進行判斷，使攻擊者可以繞過應用程序限制，構造一段SQL語句并傳遞到數據庫中，實現對數據庫的操作示例102adminABCDEFG!Select*fromtab