訪問控制攻擊概述
訪問控制漏洞即應(yīng)用程序允許攻擊者執(zhí)行或者訪問某種攻擊者不具備相應(yīng)權(quán)限的功能或資源。
常見的訪問控制可以分為垂直訪問控制��、水平訪問控制及多階段訪問控制 (上下文相關(guān)訪問控制)��,與其相應(yīng)的訪問控制漏洞為也垂直越權(quán)漏洞(普通用戶可以訪問或執(zhí)行只有管理員才具有權(quán)限訪問或執(zhí)行的資源或功能)����,水平越權(quán)漏洞(某一用戶可以訪問或執(zhí)行另一個(gè)用戶才有權(quán)限訪問或執(zhí)行的資源或功能)及多階段越權(quán)漏洞(某個(gè)操作可能需要多個(gè)步驟,比如銀行轉(zhuǎn)賬���,攻擊者可能跳過前面步驟直接執(zhí)行最后的步驟)
訪問控制攻擊類型與防御策略
常見的訪問攻擊類型
暴力破解
彩虹表攻擊
網(wǎng)絡(luò)欺騙攻擊
社會工程學(xué)攻擊
嗅探器攻擊
生日攻擊
具體攻擊類型介紹:
暴力破解
概念:暴力破解攻擊是指攻擊者通過系統(tǒng)的組合所有可能性(例如登錄時(shí)用的賬戶名.密碼)����,嘗試所有的可能性破解用戶的賬戶名.密碼等敏感信息,攻擊者會經(jīng)常使用自動化腳本組合出正確的用戶名和密碼���。
暴力破解可分為純粹式暴力破解和字典式暴力破解���,一般暴力破解工具都會同時(shí)實(shí)現(xiàn)這兩種暴力破解方式。
常見形式:
字典攻擊
字典攻擊是攻擊者使用一個(gè)攻擊者認(rèn)為可能會用在口令中的單詞字典��,攻擊者試圖重現(xiàn)這種口令選擇的方法�,從輸入字典中抽出單詞并且使用各種變形規(guī)則對輸入的單詞進(jìn)行處理,用經(jīng)過變形后的單詞進(jìn)一步匹配目標(biāo)口令���。對于一個(gè)成功的字典攻擊它需要最原始的單詞成為攻擊者的輸入字典�����,并且攻擊者對字典使用正確的字處理規(guī)則��。
字典攻擊在下面的情況下會失效
1.目標(biāo)口令的創(chuàng)建規(guī)則并不是攻擊者猜測的容易受到攻擊的規(guī)則���。比如一些網(wǎng)站、系統(tǒng)推薦的隨機(jī)口令
2.攻擊者輸入的字典不夠全面不包含目標(biāo)口令中的基本單詞
3.攻擊者使用變形規(guī)則并沒有包含目標(biāo)口令所使用的規(guī)則
彩虹表攻擊
概念:彩虹表攻擊只是批處理字典攻擊的一種具體實(shí)現(xiàn)�,它的主要特點(diǎn)是“以時(shí)間換空間”意思是查表時(shí)間變長了����,但所需存儲空間減少了�。一般獲取了密碼數(shù)據(jù)后����,hacker通常要么窮舉密碼后將哈希值比對,但耗時(shí)長�����,要么提前生成可能密碼與哈希串的對照表并存儲后查詢但占用空間大�����。而彩虹表作為一種破解哈希算法的技術(shù)��,是跨平臺的密碼破解器����。其原理是組合了暴力法和查表法,并在這兩者之中取得一個(gè)折中��,用我們可以承受的時(shí)間和存儲空間進(jìn)行破解���。
彩虹表的獲取
可以自己編程生成彩虹表�,也可以使用RainbowCrack或Cain等軟件來生成。彩虹表的生成時(shí)間與字符集的大小�、哈希鏈的長度成正比,如下圖中“7位密碼���、全部字符集.哈希鏈長度為2萬”的彩虹表大小為32G����,本地生成大約需要332天�,而從網(wǎng)上下載只需要2個(gè)小時(shí)左右,主流的彩虹表的大小普遍在100G以上�����,想要自己生成是幾乎不可能的事����,因此建議直接從網(wǎng)上下載。
暴力破解和彩虹表攻擊的區(qū)別與聯(lián)系
純粹式暴力破解
是指在要輸入密碼時(shí)�,臨時(shí)按照設(shè)定的長度、選定的字符集生成用于測試的密碼����。
純粹式暴力破解就好像是地毯式搜索�,如果密碼在設(shè)定的密碼集內(nèi)那么一定是可以找出來的字典暴力破解��,就是將出現(xiàn)頻率最高的密碼保存到文件中�,這文件就是字典,暴破時(shí)就使用字典中的這些密碼去猜解����。字典式暴力破解較純粹式暴力破解��,使用了較小的命中率損失節(jié)省了較多的時(shí)間�。
彩虹表攻擊
狹義上,彩虹表一般是指以“hash值:原始值”為行組成的文件�����,如下圖所示���。彩虹表攻擊是指�,拿著獲取到的hash值通過查詢彩虹表找出其原始值的攻擊方式�����。
暴力破解和彩虹表攻擊寬泛來說都屬于口令破解,但他們使用的場景完全是不一樣的.
暴力破解:完全不知道密碼----通過系統(tǒng)提供的認(rèn)證接口不斷認(rèn)證----獲取原始口令----處于進(jìn)入系統(tǒng)前�;
彩虹表攻擊:已知密碼hash值----通過自己的工具及彩虹表不斷查找----獲取原始口令----處于進(jìn)入系統(tǒng)后
暴力破解防御
設(shè)計(jì)安全的驗(yàn)證碼(安全的流程+復(fù)雜而又可用的圖形)在前端生成驗(yàn)證碼后端能驗(yàn)證驗(yàn)證碼的情況下,對驗(yàn)證碼有效期和次數(shù)進(jìn)行限制是非常有必要的����,在當(dāng)前的安全環(huán)境下,簡單的圖形已經(jīng)無法保證安全了��,所以我們需要設(shè)計(jì)出復(fù)雜而又可用的圖形�����;
對認(rèn)證錯(cuò)誤的提交進(jìn)行計(jì)數(shù)并給出限制�,比如連續(xù)5次密碼錯(cuò)誤,鎖定兩小時(shí)�,驗(yàn)證碼用完后銷毀,這個(gè)在上面提到過���,能有效防止暴力破解�����,還有驗(yàn)證碼的復(fù)雜程度�;
必要的情況下�����,使用雙因素認(rèn)證token是在后端代碼中的一組隨機(jī)生成數(shù),在每次登陸時(shí)���,會有一組隱藏的隨機(jī)數(shù)加在登錄賬號和密碼上進(jìn)行驗(yàn)證�����,從而增強(qiáng)安全性��。
彩虹表攻擊防御
最有效的方法就是“加鹽”即在密碼的特定位置插入特定的字符串,這個(gè)特定字符串就是“鹽”加鹽后的密碼經(jīng)過哈希加密得到的哈希串與加鹽前的哈希串完全不同��,黑客用彩虹表得到的密碼根本就不是真正的密碼��。即使黑客知道了“鹽”的內(nèi)容�、加鹽的位置,還需要對H函數(shù)和R函數(shù)進(jìn)行修改彩虹表也需要重新生成�����,因此加鹽能大大增加利用彩虹表攻擊的難度��。
網(wǎng)絡(luò)欺騙攻擊
概念:網(wǎng)絡(luò)欺騙就是通過欺騙使入侵者相信信息系統(tǒng)是有價(jià)值的��、有可利用漏洞的并且具有一些可攻擊竊取的資源(資源是偽造的或者不重要的),將入侵者引向這些錯(cuò)誤的資源��。增加入侵者的工作量����、復(fù)雜度、不確定性���,使入侵者不知道自己是否有效或成功���。而且,它允許防護(hù)者跟蹤入侵者的行為���,并在入侵者之前修補(bǔ)系統(tǒng)的安全漏洞�����。
常見形式:
ARP欺騙:
ARP(地址解析協(xié)議)是在僅知道主機(jī)的IP地址時(shí)確定其物理地址的一種協(xié)議�����。因?yàn)镮PV4和以太網(wǎng)的廣泛使用�。其主要是將IP地址翻譯為以太網(wǎng)的MAC地址����。但也能在ATM(異步傳輸)和FDDI(光纖分布式數(shù)據(jù)接口)IP網(wǎng)絡(luò)中使用�����。局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行��,而是根據(jù)MAC地址進(jìn)行傳輸�����,計(jì)算機(jī)是根據(jù)MAC地址來識別一臺機(jī)器���。區(qū)域內(nèi)A要向主機(jī)B發(fā)送報(bào)文,會查詢本地的ARP緩存表����,找到B的ip地址對應(yīng)的MAC的地址后進(jìn)行數(shù)據(jù)的傳輸�。如果沒有找到B的ip對應(yīng)的MAC地址,A會廣播一條ARP請求報(bào)文(攜帶主機(jī)B的IP地址)����,網(wǎng)上的所有主機(jī)都會收到ARP請求,但只有主機(jī)B在識別自己的IP地址并向A發(fā)送一個(gè)ARP響應(yīng)報(bào)文�����。其中包含B的MAC地址,A接收到B的應(yīng)答后會更新自己ARP緩存���。然后在使用這個(gè)MAC地址發(fā)送數(shù)據(jù)����。ARP欺騙主要分為單向欺騙和雙向欺騙�。
IP地址欺騙:
IP地址欺騙是指再行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源P地址,為了冒充其他的系統(tǒng)或者發(fā)件人的身份����。這是一種入侵的攻擊形式。入侵者使用一臺電腦上網(wǎng)�,借用另一臺機(jī)器的IP地址,從而冒充另外一臺機(jī)器和服務(wù)器打交道��。IP欺騙的實(shí)質(zhì)就是偽造IP��,就是讓一臺計(jì)算機(jī)扮演另外一臺計(jì)算機(jī)���,利用主機(jī)之間的信任關(guān)系來達(dá)到欺騙的目的����。如果兩臺計(jì)算機(jī)之間的信任關(guān)系是基于IP地址建立的,那么就可以使用rlogin命令登錄到該主機(jī)上�,不需要通過任何口令的驗(yàn)證,這就是IP欺騙最根本的理論依據(jù)��。
IP欺騙的過程如下:先選定目標(biāo)主機(jī)��,且其信任模式已被發(fā)現(xiàn)���,并找到一臺被目標(biāo)主機(jī)信任的主機(jī)�。一旦發(fā)現(xiàn)被信任的主機(jī)��,為了實(shí)現(xiàn)偽裝���,會使其喪失工作能力��。因?yàn)樵诠粽咭姹恍湃沃鳈C(jī)過程中要確保真正被信任的主機(jī)不能接收任何有效的網(wǎng)絡(luò)數(shù)據(jù)�,否則就會被拆穿��。在被信任主機(jī)喪失工作能力以后偽裝成為被信任主機(jī)���,同時(shí)建立起與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接。如果成功可以用一些簡單的命令來方式后門���,從而進(jìn)行非授權(quán)的操作����。
DNS欺騙:
冒充域名服務(wù)器,把要查詢的IP地址設(shè)置成為攻擊者的IP地址,用戶上網(wǎng)就是能看見攻擊者的主頁而不是想要查看的網(wǎng)站主頁了,這就是DNS欺騙的基本原理,DNS欺騙并不是真正的"黑掉”了對方的網(wǎng)站����,只是冒名頂替、招搖撞騙罷了����。
電子郵件欺騙:電子郵件欺騙(email spoofing)就是偽造電子郵件頭,導(dǎo)致信息看起來是源于某個(gè)人或某個(gè)地址�,而實(shí)際上不是真正的源地址。垃圾郵件的發(fā)布者通常使用欺騙和懇求的方式嘗試讓收件人打開郵件��,并盡最大可能讓收件人回復(fù)�����。
WEB欺騙:
WEB欺騙是一種電子信息欺騙���,攻擊者在其中創(chuàng)造了整個(gè)web世界的一個(gè)令人信服但是完全錯(cuò)誤的拷貝���。錯(cuò)誤的web看起來是十分逼真����,擁有相同的網(wǎng)頁和鏈接���。然而�,攻擊者控制者錯(cuò)誤的web站點(diǎn)���,這樣受攻擊者瀏覽器和和web之間的所有網(wǎng)絡(luò)信息就完全被攻擊者截獲��,其工作原理就是一個(gè)過濾器�����。
網(wǎng)絡(luò)釣魚攻擊
概念:網(wǎng)絡(luò)欺騙是黑客經(jīng)常使用的一種攻擊方式�����,也是一中隱蔽性較高的網(wǎng)絡(luò)攻擊方式����。這里以網(wǎng)絡(luò)釣魚為例�,來介紹攻擊過程和防御措施���。
釣魚攻擊采用多種技術(shù)����,使一封電子郵件信息或網(wǎng)頁的顯示同其運(yùn)行表現(xiàn)出欺騙性差異。以下為些常見的攻擊技術(shù):
復(fù)制圖片和網(wǎng)頁設(shè)計(jì)���、相似的域名
URL隱藏
IP地址
欺騙性的超鏈接
隱藏提示
彈出窗口
社會工程
網(wǎng)絡(luò)釣魚攻擊防御
不要輕易在網(wǎng)站上留下自己身份的任何資料�����,包括手機(jī)號�、身份證號�、銀行卡號等.
不要輕易在網(wǎng)上傳輸自己的隱私資料。不要輕易相信網(wǎng)上的消息�,除非得到權(quán)威機(jī)構(gòu)的證明;
不要輕易在網(wǎng)站注冊時(shí)透露自己的真實(shí)資料����。
如果涉及金錢交易、商業(yè)合同���、工作安排等重大事項(xiàng)����,不要僅僅只通過網(wǎng)絡(luò)完成,有心的騙子會利用進(jìn)行欺詐����;
不要輕易相信通過電子郵件、網(wǎng)絡(luò)論壇等發(fā)布的中獎(jiǎng)信息�、促銷信息等,除非得到另外途徑的證明��。
其他網(wǎng)絡(luò)安全防范措施�。一是安裝防火墻和防病毒軟件,并經(jīng)常升級;二是注意經(jīng)常給系統(tǒng)打補(bǔ)丁���,堵塞軟件漏洞;三是禁止瀏覽器運(yùn)行java script和ActiveX代碼����,四是不瀏覽未知網(wǎng)站或安裝未知軟件;五是提高自我保護(hù)意識���,盡量避免在網(wǎng)吧等公共網(wǎng)站上瀏覽涉及隱私的網(wǎng)站或者服務(wù)�����。
社會工程學(xué)攻擊
概念:普通的黑客攻擊��,一般來說��,普通的黑客攻擊采用的還是比較傳統(tǒng)的方式��,最開始是信息采集����,就是搜集關(guān)于你或者你的公司一切信息���,如人員信息了�����,郵箱服務(wù)器后綴名等等���。這些都可以運(yùn)用一些自動化的掃描工具能夠搜集完成,完成之后會有一臺專門存儲這些信息的服務(wù)器來記錄信息��,并且能夠和團(tuán)隊(duì)的其他人實(shí)現(xiàn)信息的分享���。下一步就是掃面所有相關(guān)系統(tǒng)的漏洞���,以便于以后利用�����。找到漏洞之后再進(jìn)行下一步的滲透�����。
這是傳統(tǒng)的滲透攻擊����,那么社會工程學(xué)攻擊是什么樣的呢?比方說����,你的電腦系統(tǒng)銅墻鐵壁非常完美,所有的漏洞都已打好補(bǔ)丁�����,沒有任何漏洞可以被利用�����,你肯定以為這樣的系統(tǒng)是絕對的安全�,完全可以防止黑客的入侵。但是����,這時(shí)有一個(gè)技術(shù)就產(chǎn)生了��,就是的社會工程學(xué)攻擊��。
社會工程學(xué)攻擊防御
培訓(xùn)員工:定期對員工進(jìn)行安全意識培訓(xùn)�,教育他們?nèi)绾巫R別和應(yīng)對社會工程學(xué)攻擊��。培訓(xùn)應(yīng)包括常見的社會工程學(xué)技巧�����,例如利用電子郵件�、電話��、社交媒體等手段進(jìn)行欺詐和詐騙���。
制定嚴(yán)格的安全政策:制定明確的安全政策和規(guī)定�,并確保員工了解和遵守這些規(guī)定��。例如����,禁止將敏感信息發(fā)送到個(gè)人電子郵件或非公司認(rèn)可的通信渠道中�����。
建立安全的IT環(huán)境:采用安全的加密技術(shù)來保護(hù)數(shù)據(jù)和通信�。例如��,使用強(qiáng)密碼��、多因素身份驗(yàn)證和加密通信等�����。
做好用戶管理:限制用戶權(quán)限和訪問敏感數(shù)據(jù)的權(quán)限���。對于離職員工或承包商����,及時(shí)撤銷其訪問權(quán)限����。
監(jiān)控和記錄:對重要數(shù)據(jù)和系統(tǒng)進(jìn)行監(jiān)控和記錄,以便及時(shí)發(fā)現(xiàn)異常行為和事件��。
加強(qiáng)安全審計(jì):定期進(jìn)行安全審計(jì)�����,確保系統(tǒng)沒有漏洞或后門程序。
保護(hù)知識產(chǎn)權(quán):制定知識產(chǎn)權(quán)政策和規(guī)定���,以防止公司機(jī)密或敏感信息被外部人員獲取或利用���。
建立應(yīng)急響應(yīng)計(jì)劃:制定應(yīng)急響應(yīng)計(jì)劃以應(yīng)對社會工程學(xué)攻擊事件。該計(jì)劃應(yīng)包括如何識別�����、隔離���、恢復(fù)和追蹤攻擊者的步驟。
尋求專業(yè)幫助:如果您的公司或組織經(jīng)常受到社會工程學(xué)攻擊���,您可以考慮尋求專業(yè)的安全咨詢或服務(wù)來幫助加強(qiáng)您的安全防御���。
嗅探器攻擊
概念:嗅探器(sniffer)是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。它工作在網(wǎng)絡(luò)的底層�,把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來。 嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò) 漏洞和檢測網(wǎng)絡(luò)性能.嗅探器可以分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題�。
生日攻擊
概念:生日攻擊是利用概率論中的生日問題���,找到?jīng)_突的Hash值,偽造報(bào)文�����,使身份驗(yàn)證算法失效
場景假設(shè):
假設(shè)要對一個(gè)合同文件進(jìn)行簽名�,然后把合同文件和簽名一起發(fā)送給接收者。簽名的方法:計(jì)算文件的哈希值(m位)��,然后使用A的私鑰對這個(gè)哈希值進(jìn)行加密�����。接收者使用A的公鑰進(jìn)行解密�,然后比較哈希值,這樣他就能確認(rèn): 接收到的合同文件是A發(fā)送的 (因?yàn)?可以使用A的公鑰對加密的哈希值進(jìn)行解密)合同文件未被修改過 (因?yàn)?解密的哈希值與合同文件的哈希值相同)攻擊者B想要偽造份假合同文件�,然后發(fā)送給接收者,并使接收者仍然相信: 接收到的合同文件是A發(fā)送的 (要求:必須能用A的公鑰對加密的哈希值進(jìn)行解密)合同文件未被修改過 (要求:解密的哈希值與合同文件的哈希值相同)���。
生日攻擊的防御
1.使用安全的哈希算法:安全的哈希算法生成的哈希值有足夠多的位數(shù)����。這樣,攻擊者在尋找兩個(gè)具有相同哈希值的文件時(shí)就會非常困難
2.加鹽:在為文件簽名之前��,先向文件添加一個(gè)隨機(jī)值����,然后計(jì)算哈希值,再將文件����、簽名和隨機(jī)值一起發(fā)送給接收者。這樣�����,攻擊者必須找出具有特定哈希值的偽造文件�����,這非常困難����。
3.改動文件:在為文件簽名之前�����,對文件做少許改動���。這樣����,攻擊者必須找出具有特定哈希值的偽造文件,這非常困難�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
