【正文】 錄的用戶名。 Windows2022的安全設(shè)置 密碼安全設(shè)置 – 使用安全密碼。 – 設(shè)置屏幕保護密碼。 – 開啟密碼策略。 系統(tǒng)安全設(shè)置 – 使用 NTFS格式分區(qū)。 – 運行防毒軟件。 – 關(guān)閉默認共享。 – 鎖住注冊表。 – 利用 Windows 2022的安全配置工具來配置安全策略。 服務(wù)安全設(shè)置 – 關(guān)閉不必要的端口。 – 設(shè)置好安全記錄的訪問權(quán)限。 – 禁止建立空連接。 腳本攻擊與防御 1 SQL注入技術(shù) 什么是 SQL注入技術(shù)？ SQL注入即是指攻擊者通過在應(yīng)用程序中預(yù)先定義好的查詢語句結(jié)尾加上額外的 SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。 dim rs admin1=request(admin) password1=request(password) set rs=() select * from admin where admin=39。 amp。 admin1 amp。 39。 and password=39。amp。 password1 amp。39。,conn,1 if and then SCRIPT language=JavaScriptalert(39。用戶名或密碼不正確！ 39。)。 javascript:(1)/SCRIPT else session(admin)=rs(admin) session(password)=rs(password) session(aleave)=rs(aleave) end if set rs=nothing 一個經(jīng)典的 SQL注入漏洞 分析 在用戶名和密碼那里都填入 ‘ OR‘ ’=’ ， SQL語句被構(gòu)造成 select * from admin where admin=‘ 39。 OR‘ 39。=‘ 39。 and password=‘ 39。 OR‘ 39。=‘ ‘ 意思是當(dāng) admin為空或者空等于空 ， password為空或者空等于空 的時候整個查詢語句就為真。 如何來修補漏洞？ 過濾掉其中的特殊字符。 這里我們就過濾掉其中的單引號? 39。? ，即是把程序的頭兩行改為： admin1=replace(trim(request(admin)),39。,) password1=replace(trim(request(password)),39。,) 3 跨站腳本攻擊技術(shù) 什么是跨站腳本攻擊？ 跨站腳本攻擊（ XSS，又稱作 CSS）指的是惡意攻擊者向Web頁面里插入惡意 html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中 Web頁面的 html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的。屬于被動攻擊。 數(shù)據(jù)流程： 惡意用戶的 Html輸入 — web程序 — 進入數(shù)據(jù)庫 — web程序 — 用戶瀏覽器 跨站 Script攻擊方式 動態(tài)輸入大致有四種形式： – URL參數(shù) – 表格元素 – Cookie – 數(shù)據(jù)請求 （由于程序代碼較多，?。? 惡意代碼 1 概述 ? 什么是惡意代碼？ 惡意代碼是指獨立的程序或者嵌入到其它程序中的代碼，它在不被用戶察覺的情況下啟動，達到破壞電腦安全性和完整性的目的。 ? 惡意代碼的分類 – 木馬、 rootkit、病毒、蠕蟲和網(wǎng)頁惡意代碼 Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息，比較多見到的是 Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。 Rootkit通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，進而達到隱藏信息的目的。 蠕蟲與病毒的區(qū)別 蠕蟲指的是能夠在網(wǎng)絡(luò)上 完全地復(fù)制自身的獨立可執(zhí)行代碼 。蠕蟲技術(shù)融合了自復(fù)制技術(shù)、掃描技術(shù)以及緩沖區(qū)溢出等攻擊技術(shù)。著名的蠕蟲有 1988 年的Morris 蠕蟲、 2022 年的 CodeRed 蠕蟲、 2022 年的 SQL Slammer 蠕蟲和 Blaster 蠕蟲、 2022 年的Sasser 蠕蟲等。 病毒 需要宿主程序通過某種方式將其激活 。目前的病毒也逐漸融入將一些網(wǎng)絡(luò)攻擊的技術(shù)，如著名的Nimda 病毒通過電子郵件、共享目錄以及主動攻擊IIS 緩沖區(qū)溢出漏洞等形式達到廣泛傳播的效果。 特洛伊木馬 特洛伊木馬的來歷 希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應(yīng)外合的工具叫做 特洛伊木馬 來源于希臘神話中的特洛伊戰(zhàn)爭 特洛伊木馬 屬于客戶 /服務(wù)模式。（ 遠程控制） – 客戶端：主控端，向服務(wù)器發(fā)送連接請求。 – 服務(wù)端：被控端，提供服務(wù)，一般會打開一個默認端口進行監(jiān)聽，當(dāng)偵聽到客戶端的連接請求，便自動運行相應(yīng)程序。 遠程控制技術(shù) 遠程控制實際上是包含有 服務(wù)器端 和 客戶端 的一套程序 服務(wù)器端程序駐留在目標(biāo)計算機里，隨著系統(tǒng)啟動而自行啟動。此外，使用傳統(tǒng)技術(shù)的程序會在某端口進行監(jiān)聽，若接收到數(shù)據(jù)就對其進行識別，然后按照識別后的命令在目標(biāo)計算機上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計算機等） 攻擊者一般在入侵成功后，將服務(wù)端程序拷貝到目標(biāo)計算機中，并設(shè)法使其運行，從而留下后門。日后，攻擊者就能夠通過運行客戶端程序，來對目標(biāo)計算機進行操作 傳統(tǒng)的遠程控制步驟 如何遠程植入程序 直接攻擊 電子郵件 文件下載 瀏覽網(wǎng)頁 + 合并文件 經(jīng)過偽裝的木馬被植入目標(biāo)機器 偽裝方式： 冒充圖像文件 首先改變文件名 。如把 .exe改變成 .。 其次更改文件圖標(biāo) 。一般木馬本身沒有圖標(biāo)，系統(tǒng)會顯示一個 windows預(yù)設(shè)的圖標(biāo)。 合并程序欺騙 將木馬與一個正常的文件捆綁為一個文件。例如 WinRAR可實現(xiàn)。 偽裝成應(yīng)用程序擴展組件 此類屬于最難識別的木馬。如偽裝成 .dll（ 動鏈庫 ） ， .ocx（控件）等，掛在一個知名的軟件中。 木馬啟動方式 自啟動 注冊表啟動 系統(tǒng)服務(wù) 系統(tǒng)配置文件啟動 木馬程序的隱藏 ? 在任務(wù)欄（包括任務(wù)管理器）中隱藏自己 – 初步隱藏 ? 注冊為系統(tǒng)服務(wù) – 不適用于 Win2k/NT ? 啟動時會先通過窗口名來確定是否已經(jīng)在運行，如果是則不再啟動 – 防止過多的占用資源 ? 進程隱藏 – 遠程線程插入其他進程（不適用于 Win9X） – Hook技術(shù) 木馬數(shù)據(jù)傳輸方式 ICMP協(xié)議傳送 （ ICMP是（ Inter Control Message Protocol）Inter控制報文協(xié)議。它是 TCP/IP協(xié)議族 的一個子協(xié)議，用于在 IP主機、 路由 器之間傳遞控制消息 ） 反彈端口 + HTTP隧道技術(shù) 使用 ICMP協(xié)議進行數(shù)據(jù)的發(fā)送 由于 ICMP由內(nèi)核或進程直接處理而不需要通過端口?？梢孕薷腎CMP頭的構(gòu)造，加入木馬的控制字段，木馬將自己偽裝成一個Ping的進程，系統(tǒng)就會將 ICMP_ECHOREPLY的監(jiān)聽、處理權(quán)交給木馬進程。 優(yōu)點： ICMP_ECHOREPLY包對防火墻和網(wǎng)關(guān)有穿透能力，因為一旦不允許 ICMP_ECHOREPLY報文通過就意味著主機沒有辦法對外進行 ping操作。 反彈端口連接模式 1024 反彈式的遠程 控制程序 防火墻 IP數(shù)據(jù)包過濾 目標(biāo)主機 Windows 系統(tǒng) IE 進 程 木馬線程 正常線程 正常線程 … Inter Explorer 瀏覽網(wǎng)頁 端口 監(jiān)聽端口 傳統(tǒng)遠 程控制程序 Slide: 142 假冒合法用戶風(fēng)險 假冒者 I am John Send Cash $$$ 合法用戶 John X ? 假冒合法用戶，以合法用戶身份進入網(wǎng)上銀行系統(tǒng) ? 通過竊取密碼、破解密碼、竊聽通訊數(shù)據(jù)、篡改通訊數(shù)據(jù)等方式進行 網(wǎng)頁惡意代碼 網(wǎng)頁惡意代碼的特點 – 跨平臺性，腳本程序是通過腳本解釋器來執(zhí)行的，不同的操作系統(tǒng)，只要有對應(yīng)的腳本解釋器，那就可以運行腳本。在通常情況下，很多系統(tǒng)都支持 web中的腳本解釋，這也為腳本程序的執(zhí)行奠定了基礎(chǔ)。 – 隱藏性，腳本程序一般都是在后臺運行的，不需要與用戶交互，用戶點開網(wǎng)頁就可能運行惡意代碼，這也正是網(wǎng)頁惡意代碼盛行的重要原因。 – 穿透性，因為 IE進程通常是訪問服務(wù)器的 80端口，而一般防火墻是不會阻止這個端口的通信的，惡意代碼通過嵌套在網(wǎng)頁的頁面里，可以很輕松的穿透防火墻，直接在目標(biāo)機器里運行。 網(wǎng)頁惡意代碼的攻擊形式 網(wǎng)頁惡意代碼一般是由 JavaScript、 VBScript、 asp、 ActiveX和 Flash等腳本編寫，另外網(wǎng)頁惡意代碼也可以通過系統(tǒng)或者應(yīng)用程序的漏洞來對目標(biāo)進行攻擊。 網(wǎng)頁惡意代碼一般是修改系統(tǒng)的個人主頁、鎖定注冊表、格式化硬盤、屏蔽鼠標(biāo)右鍵、彈出窗口以及下載木馬執(zhí)行等。