【正文】 錄的用戶(hù)名。 Windows2022的安全設(shè)置 密碼安全設(shè)置 – 使用安全密碼。 – 設(shè)置屏幕保護(hù)密碼。 – 開(kāi)啟密碼策略。 系統(tǒng)安全設(shè)置 – 使用 NTFS格式分區(qū)。 – 運(yùn)行防毒軟件。 – 關(guān)閉默認(rèn)共享。 – 鎖住注冊(cè)表。 – 利用 Windows 2022的安全配置工具來(lái)配置安全策略。 服務(wù)安全設(shè)置 – 關(guān)閉不必要的端口。 – 設(shè)置好安全記錄的訪問(wèn)權(quán)限。 – 禁止建立空連接。 腳本攻擊與防御 1 SQL注入技術(shù) 什么是 SQL注入技術(shù)？ SQL注入即是指攻擊者通過(guò)在應(yīng)用程序中預(yù)先定義好的查詢(xún)語(yǔ)句結(jié)尾加上額外的 SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢(xún)。 dim rs admin1=request(admin) password1=request(password) set rs=() select * from admin where admin=39。 amp。 admin1 amp。 39。 and password=39。amp。 password1 amp。39。,conn,1 if and then SCRIPT language=JavaScriptalert(39。用戶(hù)名或密碼不正確！ 39。)。 javascript:(1)/SCRIPT else session(admin)=rs(admin) session(password)=rs(password) session(aleave)=rs(aleave) end if set rs=nothing 一個(gè)經(jīng)典的 SQL注入漏洞 分析 在用戶(hù)名和密碼那里都填入 ‘ OR‘ ’=’ ， SQL語(yǔ)句被構(gòu)造成 select * from admin where admin=‘ 39。 OR‘ 39。=‘ 39。 and password=‘ 39。 OR‘ 39。=‘ ‘ 意思是當(dāng) admin為空或者空等于空 ， password為空或者空等于空 的時(shí)候整個(gè)查詢(xún)語(yǔ)句就為真。 如何來(lái)修補(bǔ)漏洞？ 過(guò)濾掉其中的特殊字符。 這里我們就過(guò)濾掉其中的單引號(hào)? 39。? ，即是把程序的頭兩行改為： admin1=replace(trim(request(admin)),39。,) password1=replace(trim(request(password)),39。,) 3 跨站腳本攻擊技術(shù) 什么是跨站腳本攻擊？ 跨站腳本攻擊（ XSS，又稱(chēng)作 CSS）指的是惡意攻擊者向Web頁(yè)面里插入惡意 html代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中 Web頁(yè)面的 html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶(hù)的特殊目的。屬于被動(dòng)攻擊。 數(shù)據(jù)流程： 惡意用戶(hù)的 Html輸入 — web程序 — 進(jìn)入數(shù)據(jù)庫(kù) — web程序 — 用戶(hù)瀏覽器 跨站 Script攻擊方式 動(dòng)態(tài)輸入大致有四種形式： – URL參數(shù) – 表格元素 – Cookie – 數(shù)據(jù)請(qǐng)求 （由于程序代碼較多，省） 惡意代碼 1 概述 ? 什么是惡意代碼？ 惡意代碼是指獨(dú)立的程序或者嵌入到其它程序中的代碼，它在不被用戶(hù)察覺(jué)的情況下啟動(dòng)，達(dá)到破壞電腦安全性和完整性的目的。 ? 惡意代碼的分類(lèi) – 木馬、 rootkit、病毒、蠕蟲(chóng)和網(wǎng)頁(yè)惡意代碼 Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息，比較多見(jiàn)到的是 Rootkit一般都和木馬、后門(mén)等其他惡意程序結(jié)合使用。 Rootkit通過(guò)加載特殊的驅(qū)動(dòng)，修改系統(tǒng)內(nèi)核，進(jìn)而達(dá)到隱藏信息的目的。 蠕蟲(chóng)與病毒的區(qū)別 蠕蟲(chóng)指的是能夠在網(wǎng)絡(luò)上 完全地復(fù)制自身的獨(dú)立可執(zhí)行代碼 。蠕蟲(chóng)技術(shù)融合了自復(fù)制技術(shù)、掃描技術(shù)以及緩沖區(qū)溢出等攻擊技術(shù)。著名的蠕蟲(chóng)有 1988 年的Morris 蠕蟲(chóng)、 2022 年的 CodeRed 蠕蟲(chóng)、 2022 年的 SQL Slammer 蠕蟲(chóng)和 Blaster 蠕蟲(chóng)、 2022 年的Sasser 蠕蟲(chóng)等。 病毒 需要宿主程序通過(guò)某種方式將其激活 。目前的病毒也逐漸融入將一些網(wǎng)絡(luò)攻擊的技術(shù)，如著名的Nimda 病毒通過(guò)電子郵件、共享目錄以及主動(dòng)攻擊IIS 緩沖區(qū)溢出漏洞等形式達(dá)到廣泛傳播的效果。 特洛伊木馬 特洛伊木馬的來(lái)歷 希臘人攻打特洛伊城十年，始終未獲成功，后來(lái)建造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來(lái)打開(kāi)城門(mén)，希臘將士里應(yīng)外合毀滅了特洛伊城。后來(lái)我們把進(jìn)入敵人內(nèi)部攻破防線(xiàn)的手段叫做木馬計(jì)，木馬計(jì)中使用的里應(yīng)外合的工具叫做 特洛伊木馬 來(lái)源于希臘神話(huà)中的特洛伊戰(zhàn)爭(zhēng) 特洛伊木馬 屬于客戶(hù) /服務(wù)模式。（ 遠(yuǎn)程控制） – 客戶(hù)端：主控端，向服務(wù)器發(fā)送連接請(qǐng)求。 – 服務(wù)端：被控端，提供服務(wù)，一般會(huì)打開(kāi)一個(gè)默認(rèn)端口進(jìn)行監(jiān)聽(tīng)，當(dāng)偵聽(tīng)到客戶(hù)端的連接請(qǐng)求，便自動(dòng)運(yùn)行相應(yīng)程序。 遠(yuǎn)程控制技術(shù) 遠(yuǎn)程控制實(shí)際上是包含有 服務(wù)器端 和 客戶(hù)端 的一套程序 服務(wù)器端程序駐留在目標(biāo)計(jì)算機(jī)里，隨著系統(tǒng)啟動(dòng)而自行啟動(dòng)。此外，使用傳統(tǒng)技術(shù)的程序會(huì)在某端口進(jìn)行監(jiān)聽(tīng)，若接收到數(shù)據(jù)就對(duì)其進(jìn)行識(shí)別，然后按照識(shí)別后的命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計(jì)算機(jī)等） 攻擊者一般在入侵成功后，將服務(wù)端程序拷貝到目標(biāo)計(jì)算機(jī)中，并設(shè)法使其運(yùn)行，從而留下后門(mén)。日后，攻擊者就能夠通過(guò)運(yùn)行客戶(hù)端程序，來(lái)對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行操作 傳統(tǒng)的遠(yuǎn)程控制步驟 如何遠(yuǎn)程植入程序 直接攻擊 電子郵件 文件下載 瀏覽網(wǎng)頁(yè) + 合并文件 經(jīng)過(guò)偽裝的木馬被植入目標(biāo)機(jī)器 偽裝方式： 冒充圖像文件 首先改變文件名 。如把 .exe改變成 .。 其次更改文件圖標(biāo) 。一般木馬本身沒(méi)有圖標(biāo)，系統(tǒng)會(huì)顯示一個(gè) windows預(yù)設(shè)的圖標(biāo)。 合并程序欺騙 將木馬與一個(gè)正常的文件捆綁為一個(gè)文件。例如 WinRAR可實(shí)現(xiàn)。 偽裝成應(yīng)用程序擴(kuò)展組件 此類(lèi)屬于最難識(shí)別的木馬。如偽裝成 .dll（ 動(dòng)鏈庫(kù) ） ， .ocx（控件）等，掛在一個(gè)知名的軟件中。 木馬啟動(dòng)方式 自啟動(dòng) 注冊(cè)表啟動(dòng) 系統(tǒng)服務(wù) 系統(tǒng)配置文件啟動(dòng) 木馬程序的隱藏 ? 在任務(wù)欄（包括任務(wù)管理器）中隱藏自己 – 初步隱藏 ? 注冊(cè)為系統(tǒng)服務(wù) – 不適用于 Win2k/NT ? 啟動(dòng)時(shí)會(huì)先通過(guò)窗口名來(lái)確定是否已經(jīng)在運(yùn)行，如果是則不再啟動(dòng) – 防止過(guò)多的占用資源 ? 進(jìn)程隱藏 – 遠(yuǎn)程線(xiàn)程插入其他進(jìn)程（不適用于 Win9X） – Hook技術(shù) 木馬數(shù)據(jù)傳輸方式 ICMP協(xié)議傳送 （ ICMP是（ Inter Control Message Protocol）Inter控制報(bào)文協(xié)議。它是 TCP/IP協(xié)議族 的一個(gè)子協(xié)議，用于在 IP主機(jī)、 路由 器之間傳遞控制消息 ） 反彈端口 + HTTP隧道技術(shù) 使用 ICMP協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送 由于 ICMP由內(nèi)核或進(jìn)程直接處理而不需要通過(guò)端口。可以修改ICMP頭的構(gòu)造，加入木馬的控制字段，木馬將自己偽裝成一個(gè)Ping的進(jìn)程，系統(tǒng)就會(huì)將 ICMP_ECHOREPLY的監(jiān)聽(tīng)、處理權(quán)交給木馬進(jìn)程。 優(yōu)點(diǎn)： ICMP_ECHOREPLY包對(duì)防火墻和網(wǎng)關(guān)有穿透能力，因?yàn)橐坏┎辉试S ICMP_ECHOREPLY報(bào)文通過(guò)就意味著主機(jī)沒(méi)有辦法對(duì)外進(jìn)行 ping操作。 反彈端口連接模式 1024 反彈式的遠(yuǎn)程 控制程序 防火墻 IP數(shù)據(jù)包過(guò)濾 目標(biāo)主機(jī) Windows 系統(tǒng) IE 進(jìn) 程 木馬線(xiàn)程 正常線(xiàn)程 正常線(xiàn)程 … Inter Explorer 瀏覽網(wǎng)頁(yè) 端口 監(jiān)聽(tīng)端口 傳統(tǒng)遠(yuǎn) 程控制程序 Slide: 142 假冒合法用戶(hù)風(fēng)險(xiǎn) 假冒者 I am John Send Cash $$$ 合法用戶(hù) John X ? 假冒合法用戶(hù)，以合法用戶(hù)身份進(jìn)入網(wǎng)上銀行系統(tǒng) ? 通過(guò)竊取密碼、破解密碼、竊聽(tīng)通訊數(shù)據(jù)、篡改通訊數(shù)據(jù)等方式進(jìn)行 網(wǎng)頁(yè)惡意代碼 網(wǎng)頁(yè)惡意代碼的特點(diǎn) – 跨平臺(tái)性，腳本程序是通過(guò)腳本解釋器來(lái)執(zhí)行的，不同的操作系統(tǒng)，只要有對(duì)應(yīng)的腳本解釋器，那就可以運(yùn)行腳本。在通常情況下，很多系統(tǒng)都支持 web中的腳本解釋?zhuān)@也為腳本程序的執(zhí)行奠定了基礎(chǔ)。 – 隱藏性，腳本程序一般都是在后臺(tái)運(yùn)行的，不需要與用戶(hù)交互，用戶(hù)點(diǎn)開(kāi)網(wǎng)頁(yè)就可能運(yùn)行惡意代碼，這也正是網(wǎng)頁(yè)惡意代碼盛行的重要原因。 – 穿透性，因?yàn)?IE進(jìn)程通常是訪問(wèn)服務(wù)器的 80端口，而一般防火墻是不會(huì)阻止這個(gè)端口的通信的，惡意代碼通過(guò)嵌套在網(wǎng)頁(yè)的頁(yè)面里，可以很輕松的穿透防火墻，直接在目標(biāo)機(jī)器里運(yùn)行。 網(wǎng)頁(yè)惡意代碼的攻擊形式 網(wǎng)頁(yè)惡意代碼一般是由 JavaScript、 VBScript、 asp、 ActiveX和 Flash等腳本編寫(xiě)，另外網(wǎng)頁(yè)惡意代碼也可以通過(guò)系統(tǒng)或者應(yīng)用程序的漏洞來(lái)對(duì)目標(biāo)進(jìn)行攻擊。 網(wǎng)頁(yè)惡意代碼一般是修改系統(tǒng)的個(gè)人主頁(yè)、鎖定注冊(cè)表、格式化硬盤(pán)、屏蔽鼠標(biāo)右鍵、彈出窗口以及下載木馬執(zhí)行等。