常见的访问控制可以分为垂直访问控制、水平访问控制及多阶段访问控制

(上下文相关访问控制)#xff0c;与其相应的访问控制漏洞为也垂直越权漏洞(普通用户可以访问或…访问控制攻击概述

访问控制漏洞即应用程序允许攻击者执行或者访问某种攻击者不具备相应权限的功能或资源。

常见的访问控制可以分为垂直访问控制、水平访问控制及多阶段访问控制

(上下文相关访问控制)与其相应的访问控制漏洞为也垂直越权漏洞(普通用户可以访问或执行只有管理员才具有权限访问或执行的资源或功能)水平越权漏洞(某一用户可以访问或执行另一个用户才有权限访问或执行的资源或功能)及多阶段越权漏洞(某个操作可能需要多个步骤比如银行转账攻击者可能跳过前面步骤直接执行最后的步骤)

访问控制攻击类型与防御策略

暴力破解彩虹表攻击网络欺骗攻击社会工程学攻击嗅探器攻击生日攻击

具体攻击类型介绍

概念暴力破解攻击是指攻击者通过系统的组合所有可能性(例如登录时用的账户名.密码)尝试所有的可能性破解用户的账户名.密码等敏感信息攻击者会经常使用自动化脚本组合出正确的用户名和密码。

暴力破解可分为纯粹式暴力破解和字典式暴力破解一般暴力破解工具都会同时实现这两种暴力破解方式。

常见形式

字典攻击是攻击者使用一个攻击者认为可能会用在口令中的单词字典攻击者试图重现这种口令选择的方法从输入字典中抽出单词并且使用各种变形规则对输入的单词进行处理用经过变形后的单词进一步匹配目标口令。

对于一个成功的字典攻击它需要最原始的单词成为攻击者的输入字典并且攻击者对字典使用正确的字处理规则。

1.目标口令的创建规则并不是攻击者猜测的容易受到攻击的规则。

比如一些网站、系统推荐的随机口令

彩虹表攻击

概念彩虹表攻击只是批处理字典攻击的一种具体实现它的主要特点是“以时间换空间”意思是查表时间变长了但所需存储空间减少了。

一般获取了密码数据后hacker通常要么穷举密码后将哈希值比对但耗时长要么提前生成可能密码与哈希串的对照表并存储后查询但占用空间大。

而彩虹表作为一种破解哈希算法的技术是跨平台的密码破解器。

其原理是组合了暴力法和查表法并在这两者之中取得一个折中用我们可以承受的时间和存储空间进行破解。

可以自己编程生成彩虹表也可以使用RainbowCrack或Cain等软件来生成。

彩虹表的生成时间与字符集的大小、哈希链的长度成正比如下图中“7位密码、全部字符集.哈希链长度为2万”的彩虹表大小为32G本地生成大约需要332天而从网上下载只需要2个小时左右主流的彩虹表的大小普遍在100G以上想要自己生成是几乎不可能的事因此建议直接从网上下载。

纯粹式暴力破解

是指在要输入密码时临时按照设定的长度、选定的字符集生成用于测试的密码。

纯粹式暴力破解就好像是地毯式搜索如果密码在设定的密码集内那么一定是可以找出来的字典暴力破解就是将出现频率最高的密码保存到文件中这文件就是字典暴破时就使用字典中的这些密码去猜解。

字典式暴力破解较纯粹式暴力破解使用了较小的命中率损失节省了较多的时间。

彩虹表攻击

狭义上彩虹表一般是指以“hash值:原始值”为行组成的文件如下图所示。

彩虹表攻击是指拿着获取到的hash值通过查询彩虹表找出其原始值的攻击方式。

暴力破解和彩虹表攻击宽泛来说都属于口令破解但他们使用的场景完全是不一样的.

暴力破解完全不知道密码----通过系统提供的认证接口不断认证----获取原始口令----处于进入系统前

彩虹表攻击已知密码hash值----通过自己的工具及彩虹表不断查找----获取原始口令----处于进入系统后

暴力破解防御

设计安全的验证码(安全的流程复杂而又可用的图形)在前端生成验证码后端能验证验证码的情况下对验证码有效期和次数进行限制是非常有必要的在当前的安全环境下简单的图形已经无法保证安全了所以我们需要设计出复杂而又可用的图形

对认证错误的提交进行计数并给出限制比如连续5次密码错误锁定两小时验证码用完后销毁这个在上面提到过能有效防止暴力破解还有验证码的复杂程度

必要的情况下使用双因素认证token是在后端代码中的一组随机生成数在每次登陆时会有一组隐藏的随机数加在登录账号和密码上进行验证从而增强安全性。

彩虹表攻击防御

最有效的方法就是“加盐”即在密码的特定位置插入特定的字符串这个特定字符串就是“盐”加盐后的密码经过哈希加密得到的哈希串与加盐前的哈希串完全不同黑客用彩虹表得到的密码根本就不是真正的密码。

即使黑客知道了“盐”的内容、加盐的位置还需要对H函数和R函数进行修改彩虹表也需要重新生成因此加盐能大大增加利用彩虹表攻击的难度。

网络欺骗攻击

概念网络欺骗就是通过欺骗使入侵者相信信息系统是有价值的、有可利用漏洞的并且具有一些可攻击窃取的资源(资源是伪造的或者不重要的)将入侵者引向这些错误的资源。

增加入侵者的工作量、复杂度、不确定性使入侵者不知道自己是否有效或成功。

而且它允许防护者跟踪入侵者的行为并在入侵者之前修补系统的安全漏洞。

常见形式

ARP地址解析协议是在仅知道主机的IP地址时确定其物理地址的一种协议。

因为IPV4和以太网的广泛使用。

其主要是将IP地址翻译为以太网的MAC地址。

但也能在ATM(异步传输)和FDDI(光纤分布式数据接口)IP网络中使用。

局域网的网络流通不是根据IP地址进行而是根据MAC地址进行传输计算机是根据MAC地址来识别一台机器。

区域内A要向主机B发送报文会查询本地的ARP缓存表找到B的ip地址对应的MAC的地址后进行数据的传输。

如果没有找到B的ip对应的MAC地址A会广播一条ARP请求报文(携带主机B的IP地址)网上的所有主机都会收到ARP请求但只有主机B在识别自己的IP地址并向A发送一个ARP响应报文。

其中包含B的MAC地址A接收到B的应答后会更新自己ARP缓存。

然后在使用这个MAC地址发送数据。

ARP欺骗主要分为单向欺骗和双向欺骗。

IP地址欺骗

IP地址欺骗是指再行动产生的IP数据包为伪造的源P地址为了冒充其他的系统或者发件人的身份。

这是一种入侵的攻击形式。

入侵者使用一台电脑上网借用另一台机器的IP地址从而冒充另外一台机器和服务器打交道。

IP欺骗的实质就是伪造IP就是让一台计算机扮演另外一台计算机利用主机之间的信任关系来达到欺骗的目的。

如果两台计算机之间的信任关系是基于IP地址建立的那么就可以使用rlogin命令登录到该主机上不需要通过任何口令的验证这就是IP欺骗最根本的理论依据。

IP欺骗的过程如下先选定目标主机且其信任模式已被发现并找到一台被目标主机信任的主机。

一旦发现被信任的主机为了实现伪装会使其丧失工作能力。

因为在攻击者要代替被信任主机过程中要确保真正被信任的主机不能接收任何有效的网络数据否则就会被拆穿。

在被信任主机丧失工作能力以后伪装成为被信任主机同时建立起与目标主机基于地址验证的应用连接。

如果成功可以用一些简单的命令来方式后门从而进行非授权的操作。

DNS欺骗

冒充域名服务器,把要查询的IP地址设置成为攻击者的IP地址,用户上网就是能看见攻击者的主页而不是想要查看的网站主页了,这就是DNS欺骗的基本原理DNS欺骗并不是真正的黑掉”了对方的网站只是冒名顶替、招摇撞骗罢了。

电子邮件欺骗电子邮件欺骗(email

spoofing)就是伪造电子邮件头导致信息看起来是源于某个人或某个地址而实际上不是真正的源地址。

垃圾邮件的发布者通常使用欺骗和恳求的方式尝试让收件人打开邮件并尽最大可能让收件人回复。

WEB欺骗

WEB欺骗是一种电子信息欺骗攻击者在其中创造了整个web世界的一个令人信服但是完全错误的拷贝。

错误的web看起来是十分逼真拥有相同的网页和链接。

然而攻击者控制者错误的web站点这样受攻击者浏览器和和web之间的所有网络信息就完全被攻击者截获其工作原理就是一个过滤器。

网络钓鱼攻击

概念网络欺骗是黑客经常使用的一种攻击方式也是一中隐蔽性较高的网络攻击方式。

这里以网络钓鱼为例来介绍攻击过程和防御措施。

钓鱼攻击采用多种技术使一封电子邮件信息或网页的显示同其运行表现出欺骗性差异。

以下为些常见的攻击技术

复制图片和网页设计、相似的域名URL隐藏IP地址欺骗性的超链接隐藏提示弹出窗口社会工程

网络钓鱼攻击防御

不要轻易在网站上留下自己身份的任何资料包括手机号、身份证号、银行卡号等.不要轻易在网上传输自己的隐私资料。

不要轻易相信网上的消息除非得到权威机构的证明不要轻易在网站注册时透露自己的真实资料。

如果涉及金钱交易、商业合同、工作安排等重大事项不要仅仅只通过网络完成有心的骗子会利用进行欺诈不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等除非得到另外途径的证明。

其他网络安全防范措施。

一是安装防火墙和防病毒软件并经常升级;二是注意经常给系统打补丁堵塞软件漏洞;三是禁止浏览器运行JavaScript和ActiveX代码四是不浏览未知网站或安装未知软件;五是提高自我保护意识尽量避免在网吧等公共网站上浏览涉及隐私的网站或者服务。

社会工程学攻击

概念普通的黑客攻击一般来说普通的黑客攻击采用的还是比较传统的方式最开始是信息采集就是搜集关于你或者你的公司一切信息如人员信息了邮箱服务器后缀名等等。

这些都可以运用一些自动化的扫描工具能够搜集完成完成之后会有一台专门存储这些信息的服务器来记录信息并且能够和团队的其他人实现信息的分享。

下一步就是扫面所有相关系统的漏洞以便于以后利用。

找到漏洞之后再进行下一步的渗透。

这是传统的渗透攻击那么社会工程学攻击是什么样的呢?比方说你的电脑系统铜墙铁壁非常完美所有的漏洞都已打好补丁没有任何漏洞可以被利用你肯定以为这样的系统是绝对的安全完全可以防止黑客的入侵。

但是这时有一个技术就产生了就是的社会工程学攻击。

社会工程学攻击防御

培训员工定期对员工进行安全意识培训教育他们如何识别和应对社会工程学攻击。

培训应包括常见的社会工程学技巧例如利用电子邮件、电话、社交媒体等手段进行欺诈和诈骗。

制定严格的安全政策制定明确的安全政策和规定并确保员工了解和遵守这些规定。

例如禁止将敏感信息发送到个人电子邮件或非公司认可的通信渠道中。

建立安全的IT环境采用安全的加密技术来保护数据和通信。

例如使用强密码、多因素身份验证和加密通信等。

做好用户管理限制用户权限和访问敏感数据的权限。

对于离职员工或承包商及时撤销其访问权限。

监控和记录对重要数据和系统进行监控和记录以便及时发现异常行为和事件。

加强安全审计定期进行安全审计确保系统没有漏洞或后门程序。

保护知识产权制定知识产权政策和规定以防止公司机密或敏感信息被外部人员获取或利用。

建立应急响应计划制定应急响应计划以应对社会工程学攻击事件。

该计划应包括如何识别、隔离、恢复和追踪攻击者的步骤。

寻求专业帮助如果您的公司或组织经常受到社会工程学攻击您可以考虑寻求专业的安全咨询或服务来帮助加强您的安全防御。

嗅探器攻击

概念嗅探器(sniffer)是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

它工作在网络的底层把网络传输的全部数据记录下来。

漏洞和检测网络性能.嗅探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。

嗅探器攻击防御

布置入侵检测系统(IDS、入侵防御系统IPS)、网络防墙等安全设备强化安全策略加强员工安全培训和管理工作.

在无线局域网中

使用无线嗅探软件实时监控无线局域网中无线访问点(AP)和无线客户连入情况

生日攻击

概念生日攻击是利用概率论中的生日问题找到冲突的Hash值伪造报文使身份验证算法失效

场景假设:

假设要对一个合同文件进行签名然后把合同文件和签名一起发送给接收者。

签名的方法:计算文件的哈希值(m位)然后使用A的私钥对这个哈希值进行加密。

接收者使用A的公钥进行解密然后比较哈希值这样他就能确认:

(因为:可以使用A的公钥对加密的哈希值进行解密)合同文件未被修改过

(因为:解密的哈希值与合同文件的哈希值相同)攻击者B想要伪造份假合同文件然后发送给接收者并使接收者仍然相信:

(要求:必须能用A的公钥对加密的哈希值进行解密)合同文件未被修改过

1.使用安全的哈希算法安全的哈希算法生成的哈希值有足够多的位数。

这样攻击者在寻找两个具有相同哈希值的文件时就会非常困难

2.加盐在为文件签名之前先向文件添加一个随机值然后计算哈希值再将文件、签名和随机值一起发送给接收者。

这样攻击者必须找出具有特定哈希值的伪造文件这非常困难。

3.改动文件在为文件签名之前对文件做少许改动。

这样攻击者必须找出具有特定哈希值的伪造文件这非常困难。