16 第五章 任务3 安全漏洞检测技术（2+2学时）

安全漏洞检测技术厚德强能、求实创新第五章任务3安全漏洞概述1安全漏洞管理2安全漏洞检测3厚德强能、求实创新1安全漏洞检测概述安全漏洞概念安全漏洞又称脆弱性，简称漏洞，是指信息系统在硬件、软件、协议的设计与具体实现上及系统安全策略上存在的缺陷和不足。从广义的角度来看，一切可能导致系统安全性受到影响或破坏的因素均视为漏洞。攻击者对网络系统安全构成的威胁主要有敏感信息泄露、非授权访问、身份假冒、拒绝服务。时间网络安全事件主要利用的漏洞1988年莫里斯（Morris）蠕虫Unix系统缓冲区（栈溢出）漏洞2001年红色代码（CodeRed）蠕虫MicrosoftIIS缓冲区溢出漏洞（CVE-2001-0459）2003年冲击波（Blaster）蠕虫WindowsRPC服务缓冲区溢出漏洞（CVE-2003-0352）2010年震网（Stuxnet）病毒Windows和西门子WinCC等工控系统软件漏洞：CVE-2008-4250、CVE-2010-2568、CVE-2010-2743、CVE-2010-3888、CVE-2010-2729（windows），CVE-2010-2772（WinCC），CVE-2012-3015（Step7）2014年心脏滴血（Heartbleed）漏洞OpenSSL心跳协议缓冲区溢出漏洞（CVE-2014-0160）2017年WannaCry勒索病毒WindowsSMBv1协议缓冲区溢出漏洞（CVE-2017-0144）2024年IvantiVPN零日攻击IvantiConnectSecure身份验证绕过漏洞(CVE-2023-46805)IvantiPolicySecure命令注入漏洞(CVE-2024-21887)厚德强能、求实创新漏洞的来源1安全漏洞检测概述信息系统的漏洞主要来自两个方面：一方面是非技术性漏洞，涉及管理组织结构、管理制度、管理流程、人员管理等；另一方面是技术性漏洞，涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。（1）非技术性漏洞的主要来源。①

网络安全责任主体不明确。组织中缺少负责网络安全的机构，或者是网络安全机构不健全，导致网络安全措施缺少责任部门落实。②

网络安全策略不完备。组织中缺少或者没有形成一套规范的网络信息安全策略。例如，缺少笔记本电脑安全接入控制策略，有可能导致外部非安全计算机随意接入到内部网络中，使内部网络安全防护机制失去保护效果。③

网络安全操作技能不足。组织中缺少对于工作人员网络安全职责规范的要求，没有制度化的安全意识与技能培训机制。例如，员工缺少新的网络信息安全威胁的知识和预防能力，不知道如何防范垃圾邮件、设置安全口令。④

网络安全监督缺失。组织中缺少强有力的网络信息安全监督机制，网络信息安全策略的实施无法落实，无法掌握网络安全态势。例如，恶意代码防护策略缺少更新和维护。⑤

网络安全特权控制不完备。网络信息系统中存在特权账号，缺少对超级用户权限的审计和约束，从而引发内部安全威胁。厚德强能、求实创新漏洞的来源1安全漏洞检测概述（2）技术性漏洞的主要来源①设计错误（DesignError）。由于系统或软件程序设计错误，导致产生漏洞。例如，TCP/IP协议设计错误导致IP地址可以伪造。②输入验证错误（InputValidationError）。由于未对用户输入数据的合法性进行验证，使攻击者非法进入系统。③缓冲区溢出（BufferOverflow）。输入程序缓冲区的数据超过其规定长度，造成缓冲区溢出，破坏程序正常的堆栈，使程序执行其他代码。④意外情况处置错误（ExceptionalConditionHandlingError）。由于程序在实现逻辑中没有考虑到一些意外情况，而导致运行出错。⑤访问验证错误（AccessValidationError）。由于程序的访问验证部分存在某些逻辑错误，使攻击者可以绕过访问控制进入系统。⑥配置错误（ConfigurationError）。由于系统和应用的配置有误，或配置参数、访问权限、策略安装位置有误，导致产生漏洞。⑦竞争条件（RaceCond山on）。由于程序处理文件等实体在时序和同步方面存在问题，会产生一个短暂的时机使攻击者能够施以外来的影响。⑧环境错误（ConditionError）。由于一些环境变量的错误或恶意设置，导致产生漏洞。厚德强能、求实创新2安全漏洞管理漏洞分类CVE漏洞分类：CVE是由美国MITRE公司建设和维护的安全漏洞字典，是国际上权威的漏洞发布组织，其成员包含众多全球知名的安全企业和研究机构。针对已公开的漏洞，CVE提供统一标识和规范化描述，其目的是便于共享漏洞数据。属性描述举例CVEIDCVE编号CVE-2021-44228Assigner分配者ApachePublished发布日期2021-12-10CVE漏洞条目属性厚德强能、求实创新（2）CVSS漏洞分级：通用漏洞评分系统（CommonVulnerabilityScoringSystem，CVSS）是一个行业公开标准，用来评测漏洞的严重程度，目前已更新至CVSS

4.0版。CVSS

4.0由基础、威胁、环境和补充4个评价指标组组成。漏洞分类2安全漏洞管理（3）OWASPTOP10漏洞分类：开源Web应用安全项目（OpenWebApplicationSecurityProject，OWASP）主要面向Web应用程序，每三年更新发布一次危害性排名前10的Web应用漏洞。目前，已发布多个版本，主要的漏洞类型包括注入、未验证的重定向与转发、失效的身份认证、XML外部实体（XXE）、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本（CrossSiteScripting，XSS）、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录与监控、非安全加密存储。厚德强能、求实创新（4）CNNVD漏洞分类：按照漏洞产生或触发的技术原因，CNNVD将漏洞划分为26种类型，分别为配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、XSS、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。2安全漏洞管理厚德强能、求实创新3安全漏洞检测漏洞的检测是模拟攻击者的操作，采用端口扫描、漏洞扫描等多种技术手段检测信息系统可能存在的漏洞，评估系统风险等级，并根据扫描的结果修补漏洞和系统中的错误设置，提升系统的安全防护能力。端口扫描0～1023是公认端口号，即已经公开定义或为将要公开定义的软件保留的端口号1024～65

535是并没有公开定义的端口号，用户可以自己定义这些端口的作用。端口扫描的原理是当一个主机向远端服务器的某一个端口提出建立一个连接的请求时，如果对方有此项服务，则会应答，如果对方未安装此项服务，则无应答。厚德强能、求实创新全连接扫描半连接扫描秘密扫描TCPCONNECTSCANTCPSYNSCANTCPFIN/XmasTree/NULLSCAN3安全漏洞检测端口扫描厚德强能、求实创新端口扫描3安全漏洞检测厚德强能、求实创新漏洞扫描3安全漏洞检测漏洞扫描技术主要是通过自动检测远程或本地主机的漏洞，来发现可能被黑客利用的安全缺陷。主要采用两种方法：一是基于端口扫描获取的目标主机端口和网络服务等信息，与漏洞库进行特征匹配，查找可能的漏洞，如果满足匹配条件，则认为漏洞存在；二是模拟黑客的攻击手法（通常使用插件实现自动化模拟攻击），对目标主机进行攻击性的漏洞扫描，如测试口令的强度等，如果模拟攻击成功，则表明目标主机存在漏洞。厚德强能、求实创新3安全漏洞检测根据扫描对象的不同，漏洞扫描可以分为网络扫描、操作系统扫描、Web服务扫描、数据库扫描等