《软件开发安全之道(全)》由会员分享,可在线阅读,更多相关《软件开发安全之道(全)(235页珍藏版)》请在金锄头文库上搜索。
1、1软件开发安全性设计王宝会 2引言硬件是躯体,软件是灵魂! 软件是信息化的灵魂! 软件是各国、尤其是发达国家争夺科技主导权的制高 点。 软件是一种产品,软件是一种武器! 软件产业是知识经济的核心。 软件既可以用来攻击别人,也可以用来保护自己。 软件主要指计算机系统中的程序(源程序和执行程序) 以及程序运行所必须的数据和文档。3第一部曲第一部曲现实中的一些软件安全问题现实中的一些软件安全问题4现实中的一些安全问题我的口令就是我的用户名后加上123我的口令是Q47pY!3,每隔90天就更换一次5黑客攻击清华网站 捏造校 长批评教育制度新闻6被入侵站点的截图7首页被篡改的网站8部分国外网站被黑截图9
2、网站“挂马式”攻击中国招商引资网 http:/ 站点最下 方被填加恶意连接,是一次典型的挂 马式攻击。 http:/ age/icyfox.htm10“当当网”也没有幸 免11跨站点脚本攻击 12在浏览器框中输入:javascript:aviod(document.cookie=“uc1=12345zzlsecuritytest “) 13Cookie 捕获攻击14Web欺诈的实施过程非法网站151617Skulls.D 手机病毒来源: TUOMAS TONTERI18程序师的软件后门著名的郑金龙利用职务之便,盗取金融卡的资 料,并自己制作金融卡偷取客户的存款。这 个问题的根本不单是个人遵守的
3、问题,而在 于并未确实执行文件存取的规范,让程序设 计师有权限阅读到他不该看的资料19另类的一些事件2006年南航登记牌系统出现问题, 导致2000多架飞机延误 2007年奥运门票购买系统出现崩溃 2008年伦敦证券系统出现崩溃20软件信息安全体系Professional Service/ConsultingProfessional Service/Consulting Technical SupportTechnical Support EducationEducationOS:Windows,Linux,UNIX,Embed OS,PalmOS:Windows,Linux,UNIX,Emb
4、ed OS,PalmApp App adminadminSystemSystem adminadminNetworkNetwork adminadminApp App SecuritySecuritySystemSystemSecurity SecurityNetworkNetworkSecurity SecuritySys Middleware Sys Middleware SSL, IPtable( Firewall) , TAR, Squid ( Proxy ).Providerss Sys Providerss Sys MiddlewareMiddleware Tivoli, Back
5、up,GuardApp Middleware App Middleware Apache, Sendmail, MySQLProviderss App MiddlewareProviderss App MiddlewareDB2, SBS, Domino, WebSphere Oracle, MQ, Weblogic, Horizontal 以去掉网卡混杂模式显示。如果 “strings /sbin/ifconfig | grep PROMISC” 没有输出,肯定 ifconfig 已被中了 trojan36Unix/Linux后门二进制木马后门(续) netstat 木马程序的不支持 “-p
6、” 选项 ,而系统自身的 netstat 支持 “-p” 选项 。因此如果发现 netstat 不支持 “-p” 选 项,肯定 netstat 被换成木马程序 Linux 系统的 “-p” 选项表示打印出 进程号(pid)和程序名(program name)信 息,而 Solaris 系统上 “-p” 表示打印出 网络接口的协议信息。如果发现与这一 点不符,netstat 就被换成木马程序37Unix/Linux后门二进制木马后门(续) tcpd 中有一段代码,这段代码对远 程主机名进行查询和双重检查,拒绝可 疑连接。trojan 的目的是使这段代码失 效 sshd 后门把 ssh 发行包里的
7、 login.c 作了修改,加入了内置的用户名 和口令。执行 “strings sshd”,发现诸 如 “hax0r3d” 串,说明 sshd 已被 trojan38Unix/Linux后门daemon 服务后门 UDP 后门。启动一个 daemon 进程,侦听 某个 UDP 端口,收到 UDP 包后启动一个 shell。例如 udp-backdoor-v2.0.tgz 就是这类 后门的安装包。可用“ netstat -l -p -na | grep udp” 查看这类后门是否在活动 TCP 后门。诸如 bdoor.c 之类的小程序。 执行 “netstat -l -p -na | grep
8、tcp” 查看这类后 门是否在活动 Raw socket 后门。这类后门打开一个 raw socket,通过发 ICMP 包来进行网络通讯39通过RC检测后门Solaris。在 /etc 目录下,有这样一些 rc 脚本:rcS、rc0、rc1、rc2、 rc3、rc5、rc6 Linux。rc 脚本在 /etc/rc.d 目录下,它们是:rc、rc.local、rc.sysinit 对 Solaris 系统,rcS-6 脚本名最后一个数字或字母表示运行级别 /etc 目录下另有 rc0.d、rc1.d、rc2.d、rc3.d、rcS.d 五个 目录,目录名中.前面的数字 或字母同样是表示运行级
9、别 rcS-6 脚本的作用是:按运行级别,对相应的 rcS-6 目 录下文件名以S打头的脚本文件,赋给参数 start,启动相应的 服务守护进程;以K打头的脚本文件,赋给参数 stop,关闭相 应的服务守护进程 其中的例外是,rc5 和 rc6 脚本启动或关闭的是 rc0.d 中 的服务守护进程 rcS、rc0、rc1、rc5、rc6 脚本还进行文件系统安装或拆 卸工作。特别是 rcS,它是系统启动时必须执行的,它对文件系 统进行检查和安装,进行各项系统配置40通过RC检测后门对 Linux 系统,/etc/rc.d 目录下有 rc0 、rc1、rc2、rc3、rc4、rc5、rc6 这 七个
10、目录 /etc/rc.d/rc 脚本依据运行级别象 Solaris 上一样按 rc0-6 目录中的脚本 启动或关闭服务守护进程 同时,对每个运行级别,rc.local 脚 本都将执行。rc.sysinit 脚本系统启动时 必须执行,它检查和安装文件系统,进 行各项系统配置41通过RC检测后门仔细检查这些 rc?.d 目录,如果发现某个脚本文件不是到 /etc/rc.d/init.d 或 /etc/init.d 目录中某个脚本文件的符号连接, 或者出现与上面文件名规则不相符的脚本文件,或者增加了某 个脚本文件,它很可能是用来启动后门进程的,必须仔细检查 这些脚本启动的程序 确信 rc?.d 目录
11、中脚本文件都是到 /etc/rc.d/init.d 或 /etc/init.d 目录中某个脚本文件的符号连接后,再 cd 到 /etc/rc.d/init.d 或 /etc/init.d 目录下。检查 init.d 目录下的脚本文件,如果某个脚 本启动的服务进程与名称不符,或者脚本文件的内容被修改, 加有别的什么东西启动了别的进程,必须仔细检查,极可能是 被用来启动后门进程了 除此之外,与二进制木马后门相交叉,对 init.d 目录下脚本文件 启动的每一个程序本身,都要仔细检查,运行起来看看有没有 什么不正常的现象,防止它有可能被换成 trojan 木马了。对 于 init.d 目录中的脚本文
12、件启动的程序,它们的二进制文件大 都在/usr/bin、/usr/local/bin、/sbin、/usr/sbin 目录下42通过 /etc/inetd.conf 检测后门注意 /etc/inetd.conf 中如下的语法: # telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd特别是最后两个字段,和检查 /etc/inetd.conf,特别是最后两个字段,查看是否除通常 的服务外新加有一行启动了别的服务。如果有的话,仔细检查 这项服务,很可能是在启动后门程序 同样,与二进制木马后门相交叉,对 inetd.conf 所列的每项服 务
13、,都要对程序的二进制文件进行检查,很有可能它们被换成 木马程序作为后门43使用 netstat 和 lsof 命 令检测后门如果后门程序作为守护进程启动,通常 它侦听某个端口,通过该端口与外部 网连接。攻击者借此获取对系统的访 问 对 Linux 系统,用 netstat -pna 列出 网络状态信息,特别注意 和 这两栏44Cronjob 后门除了“daemon 服务后门”一节中所述的启动后门的方法外 ,还可以在系统中置入后门程序,通过系统的 cron 守护 进程启动它 检测后门时,相应地就是检查 /var/spool/cron/crontabs 或 /var/spool/cron 目录中的
14、 crontab 文件。查看是否有 可疑程序被作为任务执行了,如果有,仔细检查它是否 是后门程序。与“二进制木马后门”相交叉,还要仔细检 查原有的任务,防止有可能它们被换成木马程序作为后 门了 如果 cronjob 后门有网络通讯,与守护进程后门一样,可 以结合 netstat 和 lsof 命令来检测45LKM 后门修改系统调用 chkrootkit kstat46基于内核的rootkitAdore 核心部分就是做adore.o的LKM,还有一个用于隐藏adore.o的模块cleaner.o,一个控制工具ava,以及一 个启动脚本startadore ava是adore rootkit的控制
15、程序Usage: ./ava h,u,r,R,i,v,U file, PID or dummy (for U)h 隐藏文件(hide file)u 重现文件(hide file)r 以root的权限运行一个程序(execute as root)R 永远删除一个进程(remove PID forever)U 卸载adore模块(uninstall adore)i 隐藏一个进程(make PID invisible)v 让一个进程重现(make PID visible)47利用kstat检测LKM使用/dev/kmem文件获得信息 安装与使用 tar ;make kstat;make instal
16、l Usage: kstat -i iff -P -p pid -M -m addr - s -i iff may be specified as all or as name (e.g. eth0) displays info about the queried interface -P displays all processes -p pid is the process id of the queried task -M displays the kernels LKMs linked list -m addr is the hex address of the queried module dis
