安全漏洞追蹤

第1章 安全測(cè)試的一般方法 1
1.1 安全測(cè)試人員的不同類型 2
1.2 一種安全測(cè)試的方法 3
1.2.1 深入理解測(cè)試的內(nèi)容 4
1.2.2 從攻擊者的角度思考如何攻擊目標(biāo) 6
1.2.3 攻擊產(chǎn)品 8
1.2.4 時(shí)刻關(guān)注新的攻擊 8
1.3 小結(jié) 9

第2章 利用威脅模型進(jìn)行安全測(cè)試 10
2.1 威脅建模 10
2.2 測(cè)試人員如何對(duì)威脅模型分級(jí) 11
2.3 數(shù)據(jù)流程圖 12
2.4 入口點(diǎn)和退出點(diǎn)的安全 13
2.5 識(shí)別威脅的技巧及常見威脅 14
2.6 測(cè)試人員如何利用一個(gè)完整的威脅模型 16
2.7 技術(shù)實(shí)現(xiàn)難以符合產(chǎn)品規(guī)范或威脅模型 19
2.8 小結(jié) 20

第3章 查找入口點(diǎn) 21
3.1 查找入口點(diǎn)并劃分等級(jí) 22
3.2 常見入口點(diǎn) 23
3.2.1 文件 23
3.2.2 套接字（Socket） 27
3.2.3 HTTP請(qǐng)求 29
3.2.4 命名管道 32
3.2.5 可插入?yún)f(xié)議處理程序 35
3.2.6 惡意服務(wù)器響應(yīng) 37
3.2.7 程序化接口 38
3.2.8 SQL 39
3.2.9 注冊(cè)表 39
3.2.10 用戶接口 41
3.2.11 E-mail 42
3.2.12 命令行參數(shù) 44
3.2.13 環(huán)境變量 45
3.3 小結(jié) 47

第4章 成為惡意的客戶端 48
4.1 客戶端/服務(wù)器交互 48
4.1.1 發(fā)現(xiàn)服務(wù)器正常接收的請(qǐng)求 49
4.1.2 操縱網(wǎng)絡(luò)請(qǐng)求 51
4.2 測(cè)試HTTP 55
4.2.1 理解無(wú)狀態(tài)協(xié)議 56
4.2.2 接收輸入的測(cè)試方法 56
4.3 快速測(cè)試特定的網(wǎng)絡(luò)請(qǐng)求 66
4.4 測(cè)試技巧 68
4.5 小結(jié) 69

第5章 成為惡意的服務(wù)器 70
5.1 理解客戶端接收惡意服務(wù)器響應(yīng)的常見方法 71
5.2 SSL能否阻止惡意服務(wù)器的攻擊 73
5.3 操縱服務(wù)器響應(yīng) 73
5.4 惡意響應(yīng)漏洞的例子 74
5.5 錯(cuò)誤認(rèn)識(shí)：對(duì)攻擊者來(lái)說(shuō)創(chuàng)建惡意服務(wù)器非常困難 76
5.6 理解降級(jí)（Downgrade）MITM攻擊 77
5.7 測(cè)試技巧 78
5.8 小結(jié) 79

第6章 欺騙 80
6.1 掌握欺騙問題的重要性 80
6.2 尋找欺騙問題 82
6.3 常見欺騙案例 82
6.3.1 IP地址欺騙 83
6.3.2 MAC地址欺騙 84
6.3.3 利用網(wǎng)絡(luò)協(xié)議欺騙 85
6.4 用戶接口（User Interface，UI）欺騙 88
6.4.1 重構(gòu)對(duì)話框 88
6.4.2 Z-Order欺騙 93
6.4.3 讓人誤解的URL和文件名 94
6.5 測(cè)試技巧 97
6.6 小結(jié) 97

第7章 信息泄露 98
7.1 信息泄露問題 98
7.2 定位信息泄露的常見區(qū)域 99
7.2.1 文件泄露 99
7.2.2 網(wǎng)絡(luò)泄露 107
7.3 識(shí)別重要的數(shù)據(jù) 111
7.3.1 數(shù)據(jù)混淆 112
7.3.2 隱含泄露 113
7.4 小結(jié) 113

第8章 緩沖區(qū)溢出及堆棧/堆操縱 114
8.1 了解溢出的工作原理 117
8.1.1 堆棧溢出 118
8.1.2 整型溢出 121
8.1.3 堆溢出 128
8.1.4 其他攻擊 129
8.2 溢出測(cè)試：在哪里尋找（測(cè)試）用例 130
8.2.1 網(wǎng)絡(luò) 130
8.2.2 文檔與文件 131
8.2.3 較高權(quán)限和較低權(quán)限用戶之間的共享信息 131
8.2.4 可編程接口 132
8.3 黑盒（功能）測(cè)試 133
8.3.1 確定期待的是什么數(shù)據(jù) 133
8.3.2 使用你能識(shí)別的數(shù)據(jù) 134
8.3.3 了解界限與邊界 134
8.3.4 保持全部數(shù)據(jù)的完整性 137
8.3.5 改造正常數(shù)據(jù)使其溢出的策略 141
8.3.6 測(cè)試首要行為和次要行為 143
8.3.7 要查找什么 144
8.3.8 運(yùn)行時(shí)工具 156
8.3.9 模糊測(cè)試 158
8.4 白盒測(cè)試 159
8.4.1 要查找的對(duì)象 160
8.4.2 溢出的可用性 164
8.4.3 Unicode數(shù)據(jù) 169
8.4.4 已過(guò)濾的數(shù)據(jù) 170
8.5 其他主題 170
8.5.1 無(wú)代碼執(zhí)行的溢出也很嚴(yán)重 170
8.5.2 /GS編譯器開關(guān) 173
8.6 測(cè)試技巧 175
8.7 小結(jié) 176

第9章 格式化字符串攻擊 177
9.1 什么是格式化字符串 178
9.2 理解為什么格式化字符串存在問題 178
9.2.1 剖析prinf調(diào)用 179
9.2.2 堆棧解析錯(cuò)誤 180
9.2.3 內(nèi)存覆蓋 182
9.3 格式化字符串安全漏洞測(cè)試 183
9.3.1 代碼檢查 183
9.3.2 黑盒測(cè)試 184
9.4 走查（Walkthrough）：經(jīng)歷一個(gè)格式化字符串攻擊過(guò)程 185
9.4.1 尋找格式化字符串漏洞 185
9.4.2 分析可利用性 186
9.4.3 深度挖掘：圍繞可利用性問題進(jìn)行工作 189
9.4.4 構(gòu)建一個(gè)簡(jiǎn)單的負(fù)載 201
9.5 測(cè)試技巧 208
9.6 小結(jié) 209

第10章 HTML腳本攻擊 210
10.1 理解針對(duì)服務(wù)器的反射跨站腳本攻擊 211
10.1.1 例子：一個(gè)搜索引擎中的反射XSS 212
10.1.2 理解為什么XSS攻擊是安全相關(guān)的 214
10.1.3 利用服務(wù)端的反射XSS漏洞 216
10.1.4 POST也是可利用的 218
10.2 理解針對(duì)服務(wù)器的持久性XSS攻擊 219
10.2.1 例子：在一個(gè)留言簿中的持久性XSS攻擊 220
10.2.2 利用針對(duì)服務(wù)器的持久性XSS攻擊 221
10.3 識(shí)別用于反射和持久性XSS攻擊的數(shù)據(jù) 221
10.4 程序員阻止攻擊的常用方法 224
10.5 理解針對(duì)本地文件的反射XSS攻擊 227
10.5.1 例子：本地文件中的反射XSS 228
10.5.2 利用本地文件中的反射XSS漏洞 229
10.5.3 理解為何本地XSS漏洞是一個(gè)問題 229
10.5.4 利用本地XSS漏洞在受害者的機(jī)器上運(yùn)行二進(jìn)制文件 232
10.5.5 HTML資源 233
10.5.6 編譯后的幫助文件 234
10.5.7 在客戶端腳本中查找XSS漏洞 236
10.6 理解本地計(jì)算機(jī)區(qū)域中的腳本注入攻擊 237
10.6.1 例子：在Winamp播放列表中的腳本注入 237
10.6.2 把非HTML文件當(dāng)作HTML來(lái)解析 240
10.7 程序員用于防止HTML腳本攻擊的方法 243
10.7.1 過(guò)濾器 243
10.7.2 深入理解瀏覽器中的解析器 245
10.7.3 Style中的注釋 245
10.7.4 ASP.NET內(nèi)置的過(guò)濾器 247
10.8 理解Internet Explorer如何減輕針對(duì)本地文件的XSS攻擊 248
10.8.1 從互聯(lián)網(wǎng)到本地計(jì)算機(jī)區(qū)域的鏈接被阻止 248
10.8.2 在默認(rèn)情況下，腳本在本地計(jì)算機(jī)區(qū)域中是禁止運(yùn)行的 248
10.9 識(shí)別HTML腳本的脆弱性 250
10.10 通過(guò)檢查代碼查找HTML腳本漏洞 250
10.10.1 識(shí)別所有返回內(nèi)容給Web瀏覽器或者文件系統(tǒng)的位置 251
10.10.2 確定輸出中是否包含攻擊者提供的數(shù)據(jù) 251
10.10.3 檢查攻擊者的數(shù)據(jù)是否進(jìn)行了適當(dāng)?shù)尿?yàn)證或者編碼 252
10.10.4 ASP.NET自動(dòng)對(duì)數(shù)據(jù)進(jìn)行編碼 253
10.11 小結(jié) 254

第11章 XML問題 255
11.1 測(cè)試XML輸入文件中的非XML安全問題 255
11.1.1 結(jié)構(gòu)良好的XML 256
11.1.2 有效的XML 257
11.1.3 XML輸入中包括非字母數(shù)字的數(shù)據(jù) 257
11.2 測(cè)試特定的XML攻擊 260
11.2.1 實(shí)體（Entity） 260
11.2.2 XML注入（XML Injection） 263
11.2.3 大文件引用（Large File Reference） 266
11.3 簡(jiǎn)單對(duì)象訪問協(xié)議（Simple Object Access Protocol） 266
11.4 測(cè)試技巧 271
11.5 小結(jié) 271

第12章 規(guī)范化問題 272
12.1 理解規(guī)范化問題的重要性 272
12.2 查找規(guī)范化問題 273
12.3 基于文件的規(guī)范化問題 273
12.3.1 目錄遍歷 274
12.3.2 使文件擴(kuò)展名檢查失效 274
12.3.3 導(dǎo)致規(guī)范化問題的其他常見錯(cuò)誤 277
12.4 基于Web的規(guī)范化問題 282
12.4.1 編碼問題 282
12.4.2 URL問題 287
12.5 測(cè)試技巧 290
12.6 小結(jié) 291

第13章 查找弱權(quán)限 292
13.1 理解權(quán)限的重要性 293
13.2 查找權(quán)限問題 294
13.3 理解Windows的訪問控制機(jī)制 295
13.3.1 安全對(duì)象 295
13.3.2 安全描述符 296
13.3.3 ACL 296
13.3.4 ACE 297
13.4 查找和分析對(duì)象的權(quán)限 298
13.4.1 使用Windows安全屬性對(duì)話框 298
13.4.2 使用AccessEnum 300
13.4.3 使用Process Explorer 300
13.4.4 使用ObjSD 301
13.4.5 使用AppVerifier 302
13.5 識(shí)別常見的權(quán)限問題 302
13.5.1 弱自主訪問控制列表（DACL） 303
13.5.2 NULL DACL 307
13.5.3 不恰當(dāng)?shù)腁CE順序 308
13.5.4 對(duì)象創(chuàng)建者 308
13.5.5 間接訪問資源 309
13.5.6 忘記恢復(fù)原權(quán)限 309
13.5.7 蹲點(diǎn)（Squatting）攻擊 310
13.5.8 利用競(jìng)爭(zhēng)條件 311
13.5.9 文件鏈接 312
13.6 確定對(duì)象的可訪問性 315
13.6.1 可遠(yuǎn)程訪問的對(duì)象 315
13.6.2 本地可訪問對(duì)象 317
13.7 其他的權(quán)限考慮 318
13.7.1 .NET權(quán)限 318
13.7.2 SQL權(quán)限 318
13.7.3 基于角色的安全 320
13.8 小結(jié) 321

第14章 拒絕服務(wù)攻擊 322
14.1 掌握DoS攻擊的類型 322
14.1.1 查找技術(shù)實(shí)現(xiàn)缺陷 323
14.1.2 查找資源消耗缺陷 329
14.1.3 尋找解決嚴(yán)重問題的方法 335
14.2 測(cè)試技巧 336
14.3 小結(jié) 336

第15章 托管代碼問題 337
15.1 澄清有關(guān)使用托管代碼的常見錯(cuò)誤認(rèn)識(shí) 338
15.1.1 錯(cuò)誤認(rèn)識(shí)1：在托管代碼中不存在緩沖區(qū)溢出 338
15.1.2 錯(cuò)誤認(rèn)識(shí)2：ASP.NET Web控件可防止跨站腳本 339
15.1.3 錯(cuò)誤認(rèn)識(shí)3：垃圾回收可以防止內(nèi)存泄露 339
15.1.4 錯(cuò)誤認(rèn)識(shí)4：托管代碼可防止SQL注入 340
15.2 理解代碼訪問安全的基礎(chǔ) 340
15.2.1 用戶安全和代碼安全的比較（User Security vs. Code Security） 341
15.2.2 CAS概況 341
15.2.3 程序（Assembly） 342
15.2.4 物證 343
15.2.5 權(quán)限 343
15.2.6 策略 344
15.2.7 全局程序集緩沖區(qū)（Global Assembly Cache） 348
15.2.8 堆棧審核（Stack Walk） 348
15.2.9 堆棧審查修改器（Stack Walk Modifier） 350
15.3 使用代碼檢查方法查找問題 352
15.3.1 調(diào)用不安全的代碼 353
15.3.2 查找斷言導(dǎo)致的問題 355
15.3.3 查找鏈接查詢中的問題 357
15.3.4 了解拙劣的異常處理 360
15.4 理解使用APTCA帶來(lái)的問題 362
15.5 .NET程序反編譯 368
15.6 測(cè)試技巧 368
15.7 小結(jié) 369

第16章 SQL注入 370
16.1 SQL注入的確切含義 370
16.2 了解SQL注入的重要性 372
16.3 查找SQL注入問題 373
16.3.1 利用黑盒測(cè)試方法 374
16.3.2 利用代碼檢查 385
16.4 避免SQL注入的常見錯(cuò)誤 387
16.4.1 轉(zhuǎn)義輸入中的單引號(hào) 388
16.4.2 刪除分號(hào)以阻止多重語(yǔ)句 388
16.4.3 只使用存儲(chǔ)過(guò)程 389
16.4.4 刪除不必要的存儲(chǔ)過(guò)程 390
16.4.5 將運(yùn)行SQL Server的計(jì)算機(jī)安置在防火墻之后 390
16.5 理解SQL存儲(chǔ)過(guò)程的再利用 391
16.5.1 示例：備份文檔 392
16.5.2 搜尋存儲(chǔ)過(guò)程中的再利用問題 393
16.6 識(shí)別類似的注入攻擊 393
16.7 測(cè)試技巧 394
16.8 小結(jié) 395

第17章 觀察及逆向工程 396
17.1 在沒有調(diào)試器或反匯編工具時(shí)的觀測(cè)結(jié)果 396
17.1.1 輸出比較 397
17.1.2 使用監(jiān)視工具 398
17.2 使用調(diào)試器跟蹤程序的執(zhí)行并改變其行為 399
17.2.1 修改執(zhí)行流程以旁路限制 400
17.2.2 在調(diào)試器下讀取并修改內(nèi)存的內(nèi)容 404
17.3 使用反編譯器或反匯編工具對(duì)一個(gè)程序?qū)嵤┠嫦蚬こ?408
17.3.1 理解二進(jìn)制本地代碼與字節(jié)碼的區(qū)別 409
17.3.2 在沒有源代碼時(shí)定位不安全的函數(shù)調(diào)用 411
17.3.3 對(duì)算法實(shí)施逆向工程以識(shí)別安全缺陷 415
17.4 分析安全更新 417
17.5 測(cè)試技巧 418
17.6 法律方面的考慮因素 419
17.7 小結(jié) 419

第18章 ActiveX再利用攻擊 420
18.1 理解ActiveX控件 421
18.1.1 在Internet Explorer瀏覽器中創(chuàng)建ActiveX控件 421
18.1.2 ActiveX控件的初始化和腳本解析 423
18.1.3 ActiveX控件再利用 424
18.1.4 理解ActiveX控件安全模型 428
18.1.5 利用ActiveX控件測(cè)試方法學(xué) 434
18.1.6 其他的測(cè)試竅門及技術(shù) 441
18.2 走查（Walkthrough）：ActiveX控件測(cè)試 450
18.2.1 Clear 451
18.2.2 ClipboardCopy 452
18.2.3 ClipboardPaste 453
18.2.4 InvokeRTFEditor 455
18.2.5 LoadRTF 464
18.2.6 NumChars 465
18.2.7 RTFEditor 屬性 466
18.2.8 RTFEditor PARAM 467
18.2.9 RTFEditorOverride 468
18.2.10 挑戰(zhàn) 470
18.3 測(cè)試技巧 470
18.4 小結(jié) 471

第19章 其他再利用攻擊 472
19.1 理解請(qǐng)求外部數(shù)據(jù)的文檔格式 472
19.1.1 文檔格式請(qǐng)求外部數(shù)據(jù)的常見的降低風(fēng)險(xiǎn)的方法 473
19.1.2 測(cè)試請(qǐng)求外部數(shù)據(jù)的文檔格式 474
19.2 請(qǐng)求外部數(shù)據(jù)的Web頁(yè)面 475
19.2.1 通過(guò)URL查詢字符串進(jìn)行的CSRF攻擊 475
19.2.2 通過(guò)POST數(shù)據(jù)進(jìn)行的CSRF攻擊 476
19.2.3 防止CSRF攻擊的常用方法 477
19.2.4 通過(guò)SOAP數(shù)據(jù)進(jìn)行的CSRF攻擊 478
19.2.5 對(duì)CSRF攻擊進(jìn)行測(cè)試 479
19.3 理解窗口和線程消息的再利用 479
19.4 小結(jié) 480

第20章 報(bào)告安全漏洞 481
20.1 報(bào)告問題 481
20.2 聯(lián)系開發(fā)商 482
20.3 期望聯(lián)系開發(fā)商后得到什么 484
20.4 公開發(fā)布 485
20.4.1 確定細(xì)節(jié)數(shù)量 485
20.4.2 公開時(shí)間選擇 486
20.5 定位產(chǎn)品中的安全漏洞 486
20.5.1 與漏洞發(fā)現(xiàn)者聯(lián)系 487
20.5.2 識(shí)別漏洞產(chǎn)生的根本原因 487
20.5.3 尋找相關(guān)的漏洞 487
20.5.4 確定受影響的產(chǎn)品及其版本 488
20.5.5 測(cè)試補(bǔ)丁 488
20.5.6 確定減輕措施和相關(guān)工作 488
20.5.7 為所有受影響的產(chǎn)品及其版本同時(shí)發(fā)布補(bǔ)丁 489
20.6 小結(jié) 489
附錄A 相關(guān)工具 490
附錄B 安全測(cè)試用例列表 497