MILY: Tahoma">1. 功能驗證
功能驗證是采用軟件測試當中的黑盒測試方法���,對涉及安全的軟件功能���,如:用戶管理模塊�,權限管理模塊����,加密系統����,認證系統等進行測試����,主要驗證上述功能是否有效���,具體方法可使用黑盒測試方法�。
2. 漏洞掃描
安全漏洞掃描通常都是借助于特定的漏洞掃描器完成的�����。漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序����。通過使用漏洞掃描器����,系統管理員能夠發現所維護信息系統存在的安全漏洞����,從而在信息系統網絡安全保衛站中做到“有的放矢”�����,及時修補漏洞����。按常規標準���,可以將漏洞掃描分為兩種類型:主機漏洞掃描器(Host Scanner)和網絡漏洞掃描器(Net Scanner)�����。主機漏洞掃描器是指在系統本地運行檢測系統漏洞的程序��,如著名的COPS����、Tripewire����、Tiger等自由軟件�����。網絡漏洞掃描器是指基于網絡遠程檢測目標網絡和主機系統漏洞的程序�,如Satan��、ISS Internet Scanner等��。
安全漏洞掃描是可以用于日常安全防護���,同時可以作為對軟件產品或信息系統進行測試的手段�,可以在安全漏洞造成嚴重危害前��,發現漏洞并加以防范���。
3. 模擬攻擊實驗
對于安全測試來說�,模擬攻擊測試是一組特殊的黑盒測試案例����,我們以模擬攻擊來驗證軟件或信息系統的安全防護能力�,下面簡要列舉在數據處理與數據通信環境中特別關心的幾種攻擊���。在下列各項中��,出現了“授權”和“非授權”兩個術語���。“授權”意指“授予權力”�����,包含兩層意思:這里的權力是指進行某種活動的權力(例如訪問數據)��;這樣的權力被授予某個實體����、代理人或進程��。于是�����,授權行為就是履行被授予權力(未被撤銷)的那些活動
l 冒充:就是意個實體假裝成一個不同的實體���。冒充常與某些別的主動攻擊形式一起使用�,特別是消息的重演與篡改��。例如�,截獲鑒別序列�,并在一個有效的鑒別序列使用過一次后再次使用�。特權很少的實體為了得到額外的特權�,可能使用冒充成具有這些特權的實體����,舉例如下�����。
1) 口令猜測:一旦黑客識別了一臺主機���,而且發現了基于NetBIOS���、Telnet或NFS服務的可利用的用戶帳號��,并成功地猜測出了口令�,就能對機器進行控制���。
2) 緩沖區溢出:由于在很多地服務程序中大意的程序員使用類似于“strcpy()�����,strcat()”不進行有效位檢查的函數���,最終可能導致惡意用戶編寫一小段程序來進一步打開安全缺口����,然后將該代碼放在緩沖區有效載荷末尾���,這樣�����,當發生緩沖區溢出時����,返回指針指向惡意代碼���,執行惡意指令�����,就可以得到系統的控制權����。
l 重演:當一個消息或部分消息為了產生非授權效果而被重復時��,出現重演��。例如��,一個含有鑒別信息的有效消息可能被另一個實體所重演�����,目的是鑒別它自己(把它當作其他實體)����。
l 消息篡改:數據所傳送的內容被改變而未被發覺��,并導致非授權后果����,如下所示���。
1) DNS高速緩存污染:由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證��,這就使得黑客可以加入不正確得信息����,并把用戶引向黑客自己的主機����。
2) 偽造電子郵件:由于SMTP并不對郵件發送者的身份進行鑒定��,因此黑客可以對內部客戶偽造電子郵件�����,聲稱是來自某個客戶認識并相信的人����,并附上可安裝的特洛伊木馬程序���,或者是一個指向惡意網站的鏈接���。
l 服務拒絕:當溢個實體不能執行它的正常功能��,或它的動作防礙了別的實體執行它們的正常功能的時候�����,便發生服務拒絕��。這種攻擊可能是一般性的�,比如一個實體抑制所有的消息�,也可能是有具體目標的����。例如�����,一個實體抑制所有流向某一特定目的端的消息��,如安全審計服務�。這種攻擊可以是對通信業務流的抑制��,或產生額外的通信業務流�����。也可能制造出試圖破壞網絡操作的消息����,特別是如果網絡具有中繼實體���,這些中繼實體根據從別的中繼實體那里接收到的狀態報告��,來做出路由選擇的決定�。拒絕服務攻擊種類很多�,舉例如下�。
1) 死亡之ping(ping of death):由于在早期的階段���,路由器對包的最大尺寸都有限制��,許多操作系統對TCP/IP棧的實現在ICMP包上都規定為64KB�,并且在讀取包的標題后�,要根據該標題頭里包含的信息來為有效載荷生成緩沖區�����。當產生畸形的�、聲稱自己的尺寸超過ICMP上限���,也就是加載尺寸超過64K上限的包時����,就會出現內存分配錯誤�,導致TCP/IP堆棧崩潰�����,致使接受方宕機�。
2) 淚滴(Teardorop):淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊�����。IP分段含有指示該分段所包含的是原包的哪一段的信息���,某些TCP/IP(包括Service Pack 4 以前的NT)在收到含有重疊偏移的偽造分段時將崩潰��。
3) UDP洪水(UDP Flood): 各種各樣的假冒攻擊利用簡單的TCP/IP服務�,如Chargen和Echo 來傳送毫無用處的數據以占滿帶寬����。通過偽造與某一主機的Chargen服務之間的一次的UDP連接��,回復地址指向開著Echo服務的一臺主機���,這樣就生成在兩臺主機之間的足夠多的無用數據流�,如果數據流足夠多�����,就會導致帶寬的服務攻擊��。
4) SYN洪水(SYN Flood):一些TCP/IP棧的實現��,只能等待從有限數量的計算機發來的ACK消息���,因為它們只有有限的內存緩沖區用于創建連接��,如果這一緩沖區充滿了虛假連接的初始信息�����,該服務器就會對接下來的連接請求停止響應���,直到緩沖區里的連接企圖超時為止���。在一些創建連接不受限制的實現里����,SYN洪水也具有類似的影響��。
5) Land攻擊:在Land攻擊中���,一個特別打造的SYN包的原地址和目標地址都被設置成某一個服務器地址����,這將導致接受服務器向它自己的地址發送SYN-ACK消息����,結果����,這個地址又發回ACK消息并創建一個空連接�����,每一個這樣的連接都將保留����,直到超時�。各種系統對Land攻擊的反應不同����,許多UNIX實現將崩潰��,NT變得極其緩慢(大約持續5分鐘)���。
6) Smurf攻擊:一個簡單的Smurf攻擊�,通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包�,來淹沒受害主機的方式進行�,最終導致該網絡的所有主機都對此ICMP應答請求作出答復��,導致網絡阻塞���,比“Ping of Death”洪水的流量高出一個或兩個數量級��。更加復雜的Smurf將源地址改為第三方的受害者�,最終導致第三方雪崩�。
7) Fraggle攻擊:Fraggle攻擊對Smurf攻擊作了簡單的修改��,使用的是UDP應答消息��,而非ICMP�����。
8) 電子郵件炸彈:電子郵件炸彈是最古老的匿名攻擊之一��,通過設置一臺機器����,不斷大量地向同一地址發送電子郵件���,攻擊者能夠耗盡接收者網絡的帶寬�。
9) 畸形消息攻擊:各類操作系統上的許多服務都存在此類問題���,由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗��,在收到畸形的信息時可能會崩潰�。
l 內部攻擊:當系統的合法用戶以非故意或非授權方式進行動作時就成為內部攻擊���。多數已知的計算機犯罪都和使系統安全遭受損害的內部攻擊有密切的關系�。能用來防止內部攻擊的保護方法包括:所有管理數據流進行加密�;利用包括使用強口令在內的多級控制機制和集中管理機制來加強系統的控制能力�;為分布在不同場所的業務部門劃分VLAN�����,將數據流隔離在特定部門����;利用防火墻為進出網絡的用戶提供認證功能�,提供訪問控制保護����;使用安全日志記錄網絡管理數據流等����。
l 外部攻擊:外部攻擊可以使用的方法有:搭線(主動的與被動的)����、截取輻射����、冒充為系統的授權用戶�、冒充為系統的組成部分�����、為鑒別或訪問控制機制設置旁路等����。
l 陷阱門:當系統的實體受到改變����,致使一個攻擊者能對命令或對預定的事件或事件序列產生非授權的影響時����,其結果就稱為陷阱門����。例如���,口令的有效性可能被修改���,使得除了其正常效力之外也使攻擊者的口令生效����。
l 特洛伊木馬:對系統而言的特洛伊木馬��,是指它不但具有自己的授權功能�,而且還有非授權功能����。一個向非授權信道拷貝消息的中繼就是一個特洛伊木馬�。典型的特洛伊木馬有NetBus���、BackOrifice和BO2k 等��。
4. 偵聽技術
偵聽技術實際上是在數據通信或數據交互過程�,對數據進行截取分析的過程����。目前最為流行的是網絡數據包的捕獲技術����,通常我們稱為 Capture����,黑客可以利用該項技術實現數據的盜用��,而測試人員同樣可以利用該項技術實現安全測試����。
該項技術主要用于對網絡加密的驗證���。
------------------摘自《軟件評測師教程》
