计算机网络系统安全漏洞分类研究.txt

BBS的精华之处

典型漏洞： 
１． Windows下的PassWD v1.2用来管理系统中的各种口令，并和URL一起储存起来。但 
它加密储存的口令加密方式非常脆弱，经过简单的分析，就可以从加密后的口令还原出 
明文。 
２． Pcanywhere 9.0采用非常脆弱的加密方法来加密传输中的口令，只要窍听了传输中 
的数据很容易解码出明文口令。 
３． Browsegate是一个Windows下的代理防火墙，它的2.80.2版本，在配置文件中储存 
了加密后的口令而且配置文件对所有用户是可读的，然而加密方式极其脆弱，可以很容 
易地解码出明文。 
十．欺骗 
利用这类漏洞，攻击者可以对目标系统实施某种形式的欺骗。这通常是由于系统的实现 
上存在某些缺陷。 
典型漏洞 
１． Windows IE曾经存在一个漏洞允许一个恶意网络在另一个风站的窗口内插入内容， 
从而欺骗用户输入敏感数据。 
２． Linux kernel 2.0.35以下的tcp/ip堆栈存在漏洞，可以使攻击者进行ip地址欺骗 
非常容易实现。 
十一．服务器信息泄露 
利用这类漏洞，攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主 
要是因为系统程序有缺陷，一般是对错误的不正确处理。 
典型漏洞： 
１． Windows IIS 3.0-5.0存在漏洞，当向系统请求不存在的.idq，.idq文件时，机器 
可能会返回出错信息，里面暴露了IIS的安装目录信息，比如请求http://www.microsof 
t.com/anything.ida，服务器会返回Response: The IDQ file d:\http\anything.ida 
could not be found。这些对攻击者进行攻击可能带来方便，比如广泛流行的msadc的攻 
击，需要知道系统的安装目录。 
２． Linux kernel 2.1.53以下的tcp/ip堆栈开放和关闭的端口对特定的数据包有特定 
的回应，攻击者可以利用这个特性进行端口的秘密扫描。 
３． 某些cgi程序如DBMan (db.cgi)存在漏洞可以使攻击者看到一些系统的环境变量， 
使攻击者获得关于系统一些有用的信息。 
十二．其它 
虽然以上的几种分类包括了绝大多数的漏洞情况，可还是有可能存在一些上面几种类型 
无法描述的的漏洞，把它们归到这里。 
B．按漏洞的成因 
对其分类，是对漏洞进行分类最另人头疼的一个方面，因为对漏洞研究的不同抽象层次 
，会对同一个漏洞做出不同的分类，对下面提到的ps竞争条件漏洞，从最低层次上来说 
是参数验证错误，因为相继的系统调用并没有检查他们所处理的是否为同一个对象，从 
高一些的层次看，这是一个同步或竞争条件错误，从更高的层次看，这则是一个逻辑错 
误，因为对象可能在使用过程中被删除。至今也没看到一个比较完美分类方案，包括se 
curityfocus上的分类也不能让人满意，现大致分成以下几类： 
一． 输入验证错误 
大多数的缓冲区溢出漏洞和cgi类漏洞都是由于未对用户提供的输入数据的合法性作适当 
的检查。 
二． 访问验证错误 
漏洞的产生是由于程序的访问验证部分存在某些可利用的逻辑错误，使绕过这种访问控 
制成为可能。上面提到的那个早期AIX的rlogin漏洞就是这种典型。 
三． 竞争条件 
漏洞的产生在于程序处理文件等实体时在时序和同步方面存在问题，这处理的过程中可 
能存在一个机会窗口使攻击者能够施以外来的影响。早期的Solaris系统的ps命令存在这 
种类型的漏洞，ps在执行的时候会在/tmp产生一个基于它pid的临时文件，然后把它cho 
wn为root，改名为ps_data。如果在ps运行时能够创建这个临时文件指向我们有兴趣的文 
件，这样ps执行以后，我们就可以对这个root拥有文件做任意的修改，这可以帮助我们 
获得root权限。 
四． 意外情况处置错误 
漏洞的产生在于程序在它的实现逻辑中没有考虑到一些意外情况，而这些意外情况是应 
该被考虑到的。大多数的/tmp目录中的盲目跟随符号链接覆盖文件的漏洞属于这种类型 
。例子：Sco UNIX openserver的/etc/sysadm.d/bin/userOsa存在盲目覆盖调试日志文 
件的问题，而文件的名字是固定的，通过把文件名指向某些特权文件，可以完全破坏系 
统。 
五． 设计错误 
这个类别是非常笼统的，严格来说，大多数的漏洞的存在都是设计错误，因此所有暂时 
无法放入到其他类别的漏洞，先放在这。 
六． 配置错误 
漏洞的产生在于系统和应用的配置有误，或是软件安装在错误的地方，或是错误的配置 
参数，或是错误的访问权限，策略错误。 
七． 环境错误 
由一些环境变量的错误或恶意设置造成的漏洞。如攻击者可能通过重置shell的内部分界 
符IFS，shell的转义字符，或其它环境变量，导致有问题的特权程序去执行攻击者指定 
的程序。上面提到的RedHat Linux的dump程序漏洞就是这种类型。 
在漏洞的威胁类型和产生漏洞的错误类型之间存在一定的联系，有直接联系的威胁类型 
与错误类型用直线相连，可以看到如下的图示： 
远程管理员权限 　　　　　　　 
　　　　　　　　　　　　　　　　　　　　 输入验证错误 
本地管理员权限 
　　　　　　　　　　　　　　　　　　　　 访问验证错误 
普通用户访问权限 
　　　　　　　　　　　　　　　　　　　 竞争条件 
权限提升 
　　　　　　　　　　　　　　　　　　 意外情况处置错误 
读取受限文件 
　　　　　　　　　　　　　　　　　　 
远程拒绝服务 
　　　　　　　　　　　　　　　　　 设计错误 
本地拒绝服务 
　　　　　　　　　　　　　　　　　　　　 
远程非授权文件存取 
　　　　　　　　　　　　　　　　　　　 配置错误 
口令恢复 
　　　　　　　　　　　　　　　　　　　　　　　 
欺骗 
　　　　　　　　　　　　　　　　　　 环境错误 
服务器信息泄露 
　　　　　　　　　　　　　　　　　 
可以看到输入验证错误几乎与所有的漏洞威胁有关，设计错误与错误的配置也会导致很 
多威胁。 
　　C.对漏洞严重性的分级 
一般来说漏洞的威胁类型基本上决定了它的严重性，我们可以把严重性分成高，中，低 
三个级别。远程和本地管理员权限大致对应为高，普通用户权限，权限提升，读取受限 
文件，远程和本地拒绝服务大致对应中级，远程非授权文件存取，口令恢复，欺骗，服 
务器信息泄露大致对应低级别。但这只是最一般的情况，很多时候需要具体情况具体分 
析，如一个涉及到针对流行系统本身的远程拒绝服务漏洞，就应该是高级别。同样一个 
被广泛使用的软件如果存在弱口令问题，有口令恢复漏洞，也应该归为中高级别。 
D．对漏洞被利用方式的分类 
漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于 
网络空间一个特定的位置，可能的攻击方式分为以下四类： 
一． 物理接触 
攻击者需要能够物理地接触目标系统才能利用这类漏洞，对系统的安全构成威胁。图示 
： 
　　　　　　　　　　　　　　　　　　　　　　　　　　　　 
   　　　　　」セ髡摺　　　　　　　　　　　　≈骰