目錄

第1章漏洞的基本知識1
1.1漏洞概述1
1.1.1漏洞的定義1
1.1.2漏洞的成因2
1.2漏洞的特征與危害2
1.2.1漏洞的特征2
1.2.2漏洞的危害3
1.3漏洞的分類方式4
1.3.1漏洞的作用方式4
1.3.2漏洞的普遍性5
1.4常見的漏洞類型5
1.4.1操作繫統漏洞5
1.4.2數據庫漏洞6
1.4.3網絡設備漏洞7
1.4.4Web漏洞7
1.4.5弱口令8
1.5漏洞的發展現狀和趨勢9
1.5.1漏洞安全事件9
1.5.2漏洞的發展現狀10
1.5.3漏洞的發展趨勢13
1.6漏洞外延應用14
1.6.1安全服務14
1.6.2補天漏洞響應平臺14
思考題15第2章安全漏洞掃描繫統16
2.1漏洞掃描概述16
2.1.1漏洞掃描的定義16漏洞掃描與防護目錄2.1.2漏洞掃描的原理16
2.1.3漏洞掃描器17
2.2漏洞掃描的關鍵技術18
2.3漏洞掃描的策略及流程20
2.3.1漏洞掃描的策略20
2.3.2漏洞掃描的流程23
2.4漏洞掃描繫統功能27
2.4.1漏洞掃描繫統的背景27
2.4.2漏洞掃描繫統的應用場景29
2.4.3漏洞掃描繫統的部署方案29
2.5安全基線概述30
2.5.1安全基線的概念30
2.5.2安全基線的檢測31
思考題32第3章網絡設備漏洞及其防範措施33
3.1網絡設備常見漏洞33
3.1.1交換機漏洞34
3.1.2路由器漏洞36
3.1.3防火牆漏洞36
3.2網絡設備漏洞掃描37
3.2.1掃描器的重要性37
3.2.2常見的漏洞掃描器類型37
3.2.3商業掃描器的特點38
3.2.4常見的掃描技術39
3.3網絡設備漏洞防護43
3.3.1硬件本身的防護措施43
3.3.2技術角度的防護措施46
3.3.3管理角度的防護措施47
思考題48第4章操作繫統漏洞及其防範措施49
4.1操作繫統的基本概念49
4.2操作繫統的常見漏洞49
4.2.1Windows繫統的常見漏洞49
4.2.2其他常見的操作繫統漏洞51
4.3操作繫統漏洞的發展趨勢54
4.4操作繫統安全掃描57
4.5操作繫統的漏洞防護60
4.5.1Windows繫統的漏洞防護60
4.5.2其他常見繫統的漏洞防護62
思考題65第5章數據庫繫統漏洞及其防範措施66
5.1數據庫常見漏洞66
5.1.1數據庫漏洞類型66
5.1.2數據庫漏洞的發展趨勢68
5.2數據庫漏洞掃描71
5.2.1數據庫漏洞的成因71
5.2.2數據庫漏洞掃描任務72
5.2.3數據庫漏洞掃描的技術路線73
5.2.4數據庫漏洞掃描的核心技術74
5.3數據庫漏洞防護74
5.3.1數據庫漏洞的處理74
5.3.2數據庫安全防護體繫75
思考題76第6章Web繫統漏洞及其防範措施77
6.1HTTP基礎知識77
6.1.1HTTP基本概念77
6.1.2HTTP響應78
6.1.3HTTP頭信息78
6.2Web安全漏洞的發展概況80
6.3常見的Web安全漏洞80
6.4Web漏洞掃描82
6.4.1Web漏洞掃描方式82
6.4.2常見的Web漏洞掃描方法83
6.5Web漏洞處理86
6.6Web漏洞的發展趨勢88
6.7Web指紋識別技術89
6.8Web認證安全92
6.8.1限制訪問92
6.8.2認證的種類93
6.8.3密碼認證的設計93
6.8.4封鎖賬戶94
6.8.5保護密碼94
6.8.6給用戶顯示錯誤信息的技巧94
6.8.7認證時記錄日志的技巧95
6.8.8郵件認證95
6.8.9手機號認證95
6.9Web會話管理96
6.9.1生成Session的方法97
6.9.2傳輸Session97
6.9.3HTTPS保護97
6.9.4何時生成SessionID97
6.9.5CSRF對策98
6.9.6直接訪問的防範與對策98
6.10Web安全增強技術99
思考題100第7章用戶名及口令猜解101
7.1常見用戶名和弱口令概述101
7.1.1常見用戶名和弱口令的概念101
7.1.2弱口令的危害102
7.2常見的弱口令類型102
7.3弱口令安全防護104
7.3.1口令字典104
7.3.2弱口令猜解105
思考題108第8章軟件配置檢查109
8.1配置檢查109
8.1.1配置不當的危害109
8.1.2配置核查至關重要110
8.1.3安全基線及配置核查的技術與方法111
8.2安全配置標準112
8.2.1中華人民共和國工業和信息化部的基線配置核查標準112
8.2.2中國移動配置核查標準114
8.2.3公安部的配置核查標準116
8.2.4中國電信安全配置核查標準116
思考題118第9章典型案例119
9.1互聯網企業漏洞掃描解決方案119
9.1.1應用背景119
9.1.2企業需求120
9.1.3解決方案120
9.1.4用戶價值121
思考題123英文縮略語124參考文獻127

前言
沒有網絡安全，就沒有國家安全；沒有網絡安全人纔，就沒有網絡安全。
為了更多、更快、更好地培養網絡安全人纔，如今，許多高校都在努力培養網絡安全人纔，都在加大投入，並聘請優秀老師，招收優秀學生，建設一流的網絡空間安全專業。
網絡空間安全專業建設需要體繫化的培養方案、繫統化的專業教材和專業化的師資隊伍。優秀教材是培養網絡空間安全專業人纔的關鍵，但這是一項十分艱巨的任務。原因有二：其一，網絡空間安全的涉及面非常廣，包括密碼學、數學、計算機、操作繫統、通信工程、信息工程、數據庫、硬件等多門學科，因此，其知識體繫龐雜、難以梳理；其二，網絡空間安全的實踐性很強，技術發展更新非常快，對環境和師資要求也很高。
“漏洞掃描與防護”是高校網絡空間安全和信息安全專業的基礎課程，通過對漏洞各知識面的介紹幫助讀者掌握漏洞掃描與防護。本書涉及的知識面寬，共分為9章。
第1章介紹漏洞基本知識，第2章介紹安全漏洞掃描繫統，第3章介紹網絡設備漏洞及其防範措施，第4章介紹操作繫統漏洞及其防範措施，第5章介紹數據庫繫統漏洞及其防範措施，第6章介紹Web繫統漏洞及其防範措施，第7章介紹用戶名及口令猜解，第8章介紹軟件配置檢查，第9章介紹典型案例。
本書既適合作為高校網絡空間安全、信息安全等相關專業課程的教材和參考資料，也適合網絡安全研究人員作為網絡空間安全的入門基礎讀物。
本書編寫過程中得到360企業安全集團的王嘉、董少飛、任濤、裴智勇、翟勝軍、北京郵電大學雷敏等專家學者的鼎力支持，在此對他們的工作表示衷心感謝！
由於作者水平有限，書中難免存在疏漏和不妥之處，歡迎讀者批評指正。

作者2018年12月

第3章第3章網絡設備漏洞及其
防範措施



在移動互聯和大數據時代談論網絡漏洞，感知網絡漏洞態勢是基本、基礎的工作。網絡設備作為互聯網的，其態勢從微觀的角度反映了整體的網絡漏洞態勢。沒有網絡設備的漏洞就沒有網絡漏洞。網絡設備的漏洞及其防範措施的重要性近年來不斷凸顯出來。3.13.1網絡設備常見漏洞網絡設備自身的安全性是網絡整體安全中極其重要的一環。網絡設備漏洞按設備類型可以分為: 防火牆漏洞、交換機漏洞、路由器漏洞、網關設備漏洞、手機設備漏洞和網絡攝像頭漏洞。圖31是來自IOT設備漏洞情況統計簡報(CNVD)的漏洞按設備類型分布圖。
圖31漏洞按設備類型分布圖
常見的網絡設備漏洞有路由器漏洞、交換機漏洞、防火牆漏洞，如圖32所示。
圖32常見的網絡設備漏洞
網絡設備的主要作用是進行數據的轉發，如果這些設備出現了漏洞，輕則影響網絡的正常運轉，嚴重時會使流經網絡設備的信息遭到竊聽、篡改等，造成極大的網絡安全隱患。3.1.1交換機漏洞
漏洞掃描與防護第3章網絡設備漏洞及其防範措施交換機漏洞主要包括VLAN跳躍漏洞、生成樹漏洞、MAC表洪水漏洞、ARP漏洞、VTP漏洞。
1. VLAN跳躍漏洞
虛擬局域網(VLAN) 是一組邏輯上的設備和用戶，這些設備和用戶並不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器完成的。VLAN常常用於為網絡提供額外的安全。因為一個VLAN上的計算機無法與沒有明確訪問權的另一個VLAN上的用戶進行對話，所以VLAN本身不足以保護環境的安全。惡意黑客正是利用VLAN跳躍漏洞，即使未經授權，也可以從一個VLAN跳到另一個VLAN。具體而言，VLAN中兩個相互連接的交換機，通過動態中繼協議(DTP)進行協商，確定它們要不要成為IEEE 802.1q中繼，協商過程是通過檢查端口的配置狀態完成的。VLAN跳躍漏洞正是利用了DTP。在VLAN跳躍漏洞中，黑客可以欺騙計算機，冒充成另一個交換機發送虛假的DTP協商消息，宣布它想成為中繼; 真實的交換機收到這個DTP消息後，以為它應當啟用IEEE 802.1q中繼功能，而一旦中繼功能被啟用，通過所有VLAN的信息流就會發送到黑客的計算機上。
中繼建立起來後，黑客可以繼續探測信息流，也可以通過給幀添加IEEE 802.1q信息，指定想把攻擊流量發送給哪個VLAN。
2. 生成樹漏洞
生成樹協議(STP)通過生成樹保證一個已知的網橋在網絡拓撲中沿一個環動態工作，使用STP的所有交換機都通過網橋協議(BPDU)共享信息，BPDU每兩秒就發送一次。交換機發送BPDU時，裡面含有名為網橋ID的標號，這個網橋ID結合了可配置的優先數(默認值是32768)和交換機的基本MAC地址。交換機可以發送並接收這些BPDU，以確定哪個交換機擁有的網橋ID，擁有網橋ID的那個交換機成為根網橋(Root Bridge)。
使用生成樹協議可以防止冗餘的交換環境出現回路。要是網絡有回路，就會變得擁塞不堪，從而出現廣播風暴，引起MAC表不一致，終使網絡崩潰。
惡意黑客利用STP的工作方式發動DDoS攻擊。如果惡意黑客把一臺計算機連接到不止一個交換機，然後發送精心設計具有較低ID的BPDU給網橋，就可以欺騙交換機，使其以為這是根網橋，這會導致STP重新收斂(reconverge)，從而引起回路，導致網絡崩潰。
3. MAC表洪水漏洞
交換機的工作方式是: 幀在進入交換機時記錄下MAC源地址，這個MAC地址與幀進入的那個端口相關，因此以後通往該MAC地址的信息流將隻通過該端口發送出去。這可以提高帶寬利用率，因為信息流不用從所有端口發送出去，隻從需要接收的那些端口發送出去。
MAC地址存儲在內容可尋址存儲器(CAM)裡，CAM是一個128KB大小的保留內存，專門用來存儲MAC地址，以便快速查詢。如果惡意黑客向CAM發送大批數據包，就會導致交換機開始向各個地方發送大批信息流，從而埋下隱患，甚至導致交換機在拒絕服務的漏洞中崩潰。
4. ARP漏洞
ARP(address resolution protocol)欺騙是一種用於會話劫持漏洞中的常見手法。地址解析協議(ARP)利用第2層物理MAC地址映射第3層邏輯IP地址，如果設備知道了IP地址，但不知道被請求主機的MAC地址，它就會發送ARP請求。ARP請求通常以廣播形式發送，以便所有主機都能收到。
惡意黑客可以發送被欺騙的ARP回復，獲取發往另一個主機的信息流，即存在一個ARP欺騙過程，其中ARP請求以廣播幀的形式發送，以獲取合法用戶的MAC地址。假設黑客Jimmy也在網絡上，試圖獲取發送到這個合法用戶的信息流，黑客Jimmy欺騙ARP響應，聲稱自己是IP地址為10.0.0.55(MAC地址為051C3200A199)的主人，合法用戶也會用相同的MAC地址進行響應。結果是，交換機在MAC地址表中有了與該MAC地址相關的兩個端口，發往這個MAC地址的所有幀都被同時發送到合法用戶和黑客Jimmy。
5. VTP漏洞
VLAN中繼協議(VLAN trunk protocol，VTP)是一種管理協議，它可以減少交換環境中的配置數量。就VTP而言，交換機可以是VTP服務器、VTP客戶端或者VTP透明交換機，這裡著重討論VTP服務器和VTP客戶端。用戶每次對工作於VTP服務器模式下的交換機進行配置改動時，無論是添加、修改，還是移除VLAN，VTP配置版本號都會增加1，VTP客戶端看到配置版本號大於目前的版本號後，就知道與VTP服務器進行同步。
惡意黑客可以讓VTP為己所用，移除網絡上的所有VLAN(除了默認的VLAN外)，這樣就可以進入其他每個用戶所在的同一個VLAN上。不過，用戶可能仍在不同的網絡上，所以惡意黑客需要改動其IP地址，纔能進入位於同一個網絡上其想要攻擊的主機。
惡意黑客隻要連接到交換機，並在計算機和交換機之間建立一條中繼，就可以充分利用VTP。黑客可以發送VTP消息到配置版本號高於當前的VTP服務器，這會導致所有交換機都與惡意黑客的計算機進行同步，從而把所有非默認的VLAN從VLAN數據庫中移除出去。
3.1.2路由器漏洞
截止到2016年底，包括DLink、TPLink、Cisco、斐訊、iKuai等一眾國內外知名品牌都相繼爆出了高危漏洞，影響上萬用戶的網絡安全。圖33所示為來自瑞星2016年中國信息安全報告的根據exploitsdb披露的各品牌路由器漏洞比例。
路由器的漏洞類型包括默認口令、固件漏洞、路由後門等一繫列安全問題。通過對相關路由器事件進行統計，在各種攻擊方式中弱口令占比例多。根據CNVD白帽子、補天平臺以及漏洞盒子等來源的彙總信息，路由器漏洞類型比例如圖34所示。
圖332016年各品牌路由器漏洞比例
圖34路由器漏洞類型比例



3.1.3防火牆漏洞
網絡攻擊者如果獲得路由器或交換機的管理訪問權限，將會產生災難性後果。而如果攻擊者獲得了防火牆管理權限，後果將更加嚴重。對於任何企業而言，防火牆都是主要的防御手段，如果攻擊者獲取了關閉防火牆的權限或者甚至能夠操縱它允許某些流量出入，結果可能是毀滅性的。
因此，各種防火牆供應商會不定期地發布已知漏洞的修復補丁，而對於未知漏洞，可能無法及時提供修復補丁。例如，思科公司投入了大量資金維護其產品的安全性，在Security Advisories、Response 和 Notices網站提供了相關數據庫，讓用戶充分了解所有思科產品(包括防火牆)的安全問題，並且發布修復補丁。但很多企業用戶沒有安排專門的人員監控防火牆供應商發布的漏洞信息及補丁，這樣的做法存在嚴重問題。因為負責管理企業防火牆基礎設施的人員必須盡一切努力了解修復補丁、漏洞監控和其他可能產生的問題。根據數據庫防火牆技術市場調研報告，2016年各公司防火牆漏洞報告如圖35所示。可以看出，在防火牆市場中，Oracle公司發布的防火牆漏洞報告占比較大，為提高防火牆的安全性，各防火牆供應商應重視漏洞信息以及補丁的發布。
圖352016年各公司防火牆漏洞報告
3.23.2網絡設備漏洞掃描如何避免網絡漏洞的產生，保障自身網絡的安全，其中一個主要的方法就是自查自糾，在這個過程中，對網絡設備漏洞進行掃描成為一種較為快捷、直觀、簡單的方法。掃描技術基於TCP/IP，對各種網絡服務，無論是主機，或者防火牆、路由器、交換機漏洞都適用。同時，掃描可以確認各種配置的正確性，避免遭受不必要的攻擊。網絡掃描是一把雙刃劍，對於安全管理員來說，可用來確保自己繫統的安全性，也能被黑客用來查找繫統的入侵點。目前，掃描技術已經非常成熟，已經出現了大量應用於商業、非商業的掃描器。
3.2.1掃描器的重要性
(1) 掃描器能夠暴露網絡上潛在的脆弱性。
(2) 無論掃描器被管理員利用，或者被黑客利用，都有助於加強繫統的安全性。
(3) 能夠使得漏洞被及早發現。
(4) 掃描器除了能掃描端口，往往還能夠發現繫統存活情況，以及哪些服務在運行。
(5) 用已知的漏洞測試這些繫統。
(6) 能夠完成操作繫統辨識、應用繫統識別等任務。
3.2.2常見的漏洞掃描器類型
漏洞掃描器是一種能自動檢測遠程或本地主機繫統在安全性方面弱點和隱患的程序。常見的漏洞掃描器類型根據工作模式不同，可以分為主機漏洞掃描器和網絡漏洞掃描器兩大類。主機漏洞掃描器又稱本地掃描器，它與待檢查繫統運行於同一結點，執行對自身的檢查。它的主要功能為分析各種繫統文件內容，查找可能存在的對繫統安全造成威脅的配置錯誤。網絡漏洞掃描器又稱遠程掃描器，它和待檢查繫統運行於不同結點，通過網絡遠程探測目標結點，檢查安全漏洞。遠程掃描器檢查網絡和分布式繫統的安全漏洞。根據掃描功能不同，可以將常見的掃描器分為如下幾種類型。
1. 端口掃描器
Nmap是常用的掃描工具，很多人認為Nmap僅用於掃描端口，但Nmap 的功能非常強大，包括操作繫統的服務判定、操作繫統指紋的判定、防火牆及IDS的規避技術。Nmap可以完成大範圍的早期評估工作。實際上，Nmap的端口掃描的不管是主機開放端口、服務，還是操作繫統版本，它的大部分依據都來自端口掃描的結果，根據其結果去判定其他信息。
2. 漏洞掃描器
以nessus為免費產品代表，nessus的安裝應用程序、腳本語言都是公開的，但從版本3開始它就轉向一個私有的授權協議。其掃描引擎仍然免費，不過對其支持和的漏洞定義要收費。nessus目前的版本是nessus 7.2。該掃描器不僅可以檢查繫統漏洞，還可以檢查一部分配置失誤。
3. Web應用掃描器
這類掃描器相對而言，功能比較專一，僅用於評估網站的安全性，對於繫統、網絡的基礎情況一般不關注，關注的焦點主要是Web應用。常見的有appscan、WEBinspect，主要檢測Web應用數據提交、信息洩漏等問題。
3.2.3商業掃描器的特點
大部分商業掃描器都工作在黑盒模式，這種掃描器的特點如下。
1. 精確掃描漏洞
在商業化應用中，對誤報、漏報的容忍程度比較低。但目前的情況，誤報和漏報還是無法規避的。具體掃描的信息有如下3個方面。
狀態掃描: 狀態掃描是對目標主機開放的服務、通信的情況、OS版本和應用服務的版本進行掃描。
漏洞掃描: 漏洞掃描是通過掃描驗證當前繫統是否存在可利用、不可利用的漏洞，如果可利用，那麼通過使用一些掃描器就可以進行寫入文件或者拿到shell。
弱口令掃描: 弱口令就是使用的密碼較簡單。弱口令掃描主要使用密碼字典和窮舉對開放的服務進行口令破解。
2. 修補聯動
商用掃描器在漏洞精確掃描之後，會給出一些建議和技術手段屏蔽漏洞。初提供的是一些修補建議，這種方式對專業技術人員來說有相當價值，但對於一些技術較薄弱或者比較懶惰的用戶，修補建議的作用就被忽略了。在新一代的商用掃描器中，提出了修補聯動的概念，通過發送注冊表提示用戶，用戶雙擊注冊表，就可以導入需要修改、升級補丁的信息，並且還可以和WSUS進行聯動，通過該方式基本實現自動化的修補。
3.2.4常見的掃描技術
為了描述常見的掃描技術，以Nmap工作流程為例，整個掃描流程如圖36所示。
(1) 存活性掃描: 指大規模評估一個較大網絡的存活狀態。例如，跨地域、跨繫統的大型企業。但是，被掃描主機可能通過一些欺騙性措施逃過存活性掃描的判定，如使用防火牆阻塞ICMP數據包。
(2) 端口掃描: 針對主機判斷端口的開放和關閉情況，不管其是不是存活。端口掃描也成為存活性掃描的一個有益補充，如果主機存活，必然要提供相應的狀態，因此無法隱藏其存活情況。
(3) 服務識別: 通過端口掃描的結果，可以判斷出主機提供的服務及其版本。
(4) 操作繫統識別: 利用服務的識別，可以判斷出操作繫統的類型及其版本。
根據以上掃描流程，具體介紹以下5種掃描技術。
圖36掃描流程圖
圖37規避掃描



1. 主機存活掃描技術
主機掃描的目的是確定在目標網絡上的主機是否可達。這是信息收集的初級階段，其效果直接影響到後續的掃描。ping就是原始的主機存活掃描技術，利用ICMP的echo字段，如果發出的請求收到回應，則代表主機存活。
2. 規避技術
為了達到規避防火牆和入侵檢測設備的目的，利用ICMP協議提供網絡間傳送錯誤信息的功能，使其成為非常規掃描手段。其主要原理是利用被探測主機產生的ICMP錯誤報文進行復雜的主機探測。
常用的規避技術大致分為4類，如圖37所示。
異常IP包頭: 向目標主機發送包頭錯誤的IP包，目標主機或過濾設備會反饋ICMP Parameter Problem Error信息。常見的偽造錯誤字段為Header Length和IP Options。不同廠家的路由器和操作繫統對這些錯誤的處理方式不同，返回的結果也不同。
在IP頭中設置無效的字段值: 向目標主機發送的IP包中填充錯誤的字段值，目標主機或過濾設備會反饋ICMP Destination Unreachable信息。這種方法同樣可以探測目標主機和網絡設備。
通過超長包探測內部路由器: 若構造的數據包長度超過目標繫統所在路由器的PMTU且設置禁止分片標志，則該路由器會反饋Fragmentation Needed and Don’t Fragment Bit was Set差錯報文。
反向映射探測: 用於探測被過濾設備或防火牆保護的網絡和主機。具體運行機制是構造可能的內部IP地址列表，並向這些地址發送數據包。當對方路由器接收到這些數據包時，會進行IP識別並安排好路由，對不在其服務範圍的IP包發送ICMP Host Unreachable或ICMP Time Exceeded 錯誤報文，沒有接收到相應錯誤報文的IP地址則被認為在該網絡中。
3. 端口掃描技術
完成主機存活性判斷之後，就應該判定主機開放信道的狀態，端口就是在主機上面開放的信道，端口總數是65535，其中0～1024為知名端口。端口實際上就是從網絡層映射到具體進程的通道。通過這個關繫就可以掌握什麼樣的進程使用了什麼樣的通道，在這個過程中，可以通過進程取得的信息為查找後門、了解繫統狀態提供有力的支撐。常見的端口掃描技術如圖38所示。
圖38常見的端口掃描技術
1) TCP掃描
利用三次握手過程與目標主機建立完整或不完整的TCP連接。
在TCP的報頭裡有6個連接標記，分別是URG、ACK、PSH、RST、SYN、FIN。通過這些連接標記不同的組合方式，可以獲得不同的返回報文。例如，發送一個SYN置位的報文，如果SYN置位瞄準的端口是開放的，SYN置位的報文到達的端口開放的時候，就會返回SYN ACK，代表其能夠提供相應的服務。收到SYN ACK後，返回給對方一個ACK。這個過程就是著名的三次握手。這種掃描的速度和精度都是令人滿意的。
Reverseident掃描: 這種技術利用了ident協議(RFC1413)，TCP端口為113，這是很多主機都會運行的協議，用於鋻別TCP連接的用戶。
ident的操作原理是查找特定TCP/IP連接並返回擁有此連接進程的用戶名。它也可以返回主機的其他信息，但這種掃描方式隻能在TCP全連接之後纔有效，並且實際上很多主機都會關閉Ident服務。
TCPSYN掃描: 向目標主機的特定端口發送一個SYN包，如果端口沒開放，就不會返回SYN ACK，這時會給你一個RST，停止建立連接。由於連接沒有完全建立，所以稱為半開放掃描。但由於SYN flood作為一種DDoS攻擊手段被大量采用，因此很多防火牆都會對SYN報文進行過濾，所以這種方法並不總是有效的。
其他還有FIN、NULL、Xmas等掃描方式。
2) UDP掃描
由於現在防火牆設備的流行，TCP端口的管理狀態越來越嚴格，不會輕易開放，並且通信監視嚴格。為了避免這種監視，達到評估的目的，就出現了秘密掃描。這種掃描方式的特點是利用UDP端口關閉時返回的ICMP信息，不包含標準的TCP 三次握手協議的任何部分，隱蔽性好。
但是，UDP掃描使用的數據包在通過網絡時容易被丟棄，從而產生錯誤的探測信息，並且該方式具有明顯的缺陷，即速度慢、精度低。UDP的掃描方法比較單一，基礎原理是: 當發送一個報文給UDP端口，該端口是關閉狀態時，端口會返回給一個ICMP信息，所有的判定都基於這個原理。
使用UDP掃描需要注意的是: ，因為UDP不是面向連接的，所以其精度較低；第二，UDP的掃描速度比較慢，TCP掃描開放1s的延時，在UDP裡可能就需要2s，這是由於不同操作繫統在實現ICMP的時候為了避免廣播風暴都會有峰值速率的限制(因為ICMP並不是傳輸載荷信息，所以傳輸信息的價值有限，操作繫統在實現時會避免ICMP報文過多。為了避免產生廣播風暴，操作繫統對ICMP報文規定了峰值速率。對於不同操作繫統，該速率不同)，因此，利用UDP作為掃描的基礎協議會對精度、延時產生較大影響。圖39常見的服務及繫統指紋技術

4. 服務及繫統指紋
判定完端口狀況之後，繼而就要判定服務。常見的服務及繫統指紋技術如圖39所示。
端口判定: 這種判定服務的方式就是根據端口直接利用端口與服務對應的關繫，如23端口對應Telnet，21對應FTP，80對應HTTP。這種方式判定服務是較早的一種方式，對於大範圍評估，是有一定價值的，但其精度較低。例如，使用NetCat這樣的工具在80端口上監聽，這樣掃描時會以為80在開放，但實際上80並沒有提供HTTP服務，由於這種關繫隻是簡單對應，並沒有判斷端口運行的協議，這就會產生誤判，認為隻要開放了80端口，就是開放了HTTP。但實際並非如此，這就是端口掃描技術在服務判定上的根本缺陷。
 Banner: Banner的方式相對精確。獲取服務的Banner是一種比較成熟的技術，可用來判定當前運行的服務，對服務的判定較為準確。該方式不僅能判定服務，還能判定具體的服務版本信息。例如，根據頭部信息發現對方是Redhat Linux，基本上可以鎖定服務的真實性。此外，這種技術比較靈活。例如，HTTP、FTP、Telnet都能夠獲取一些Banner信息。為了判斷服務類型、應用版本、OS平臺，通過模擬各種協議初始化握手獲取信息。
但是需要注意的是，在安全意識普遍提升的今天，對Banner的偽裝導致精度大幅降低。例如，IIS和Apache可以對存放Banner信息的文件字段進行修改，而且這種修改的開銷很低。此外，當前流行的一個偽裝工具Servermask不僅能夠偽造多種主流Web服務器Banner，還能偽造HTTP應答頭信息裡的項的序列。
5. 指紋技術
指紋技術利用TCP/IP協議棧實現上的特點辨識一個操作繫統。可辨識操作繫統類型、主版本號，甚至可辨識小版本號。常見的指紋技術如圖310所示。圖310常見的指紋技術

主動識別技術: 采用主動發包，利用多次試探，一次一次篩選不同信息，如根據ACK值判斷，有些繫統會發回所確認的TCP分組的序列號，有些會發回序列號加1，還有一些操作繫統會使用一些固定的TCP窗口。某些操作繫統還會設置IP頭的DF位改善性能，這些都可以成為判斷的依據。需要說明的是，這種技術判定Windows的精度比較差，隻能判定一個大致區間，很難判定出其精確版本，但是在識別UNIX網絡設備時，甚至可以判定出小版本號，精確度較高。在大多數情況下，目標主機與源主機跳數越多，精度越差，原因在於數據包裡的很多特征值在傳輸過程中都已經被修改或模糊化，一定程度上會影響到探測的精度。
被動識別技術: 不是向目標繫統發送分組，而是被動監測網絡通信，以確定所用的操作繫統。具體而言，對報頭內DF位、TOS位、窗口大小、TTL的嗅探進行判斷。因為該方式不需要發送數據包，隻需要抓取其中的報文，所以叫作被動識別技術。
ICMP指紋識別技術: 在黑帽大會上，出現了ICMP指紋識別技術，並開發出相應的工具Xprobe，其優勢是隻需要通過ICMP，發送一批UDP包給關閉的高端端口，然後計算返回來的不可達錯誤消息。通常情況下送回IP頭 8個字節，但是個別繫統送回的數據更多一些。根據ICMP回應的TOS、TTL值、校驗和等信息，並以樹狀的形式過濾，終精確鎖定。例如，當發送ICMP的echo請求時，對方回應的TTL值是有一定規律可循的。3.33.3網絡設備漏洞防護3.3.1硬件本身的防護措施〖*2〗1. 防火牆防護防火牆技術是網絡漏洞防護中常用的技術之一。防火牆可以看作是一個位於計算機和它所連接的網絡之間的軟件或硬件，該計算機流入/流出的所有網絡通信和數據包均要經過此防火牆。防火牆的作用原理是在用戶端網絡周圍建立起一定的保護網絡，從而將用戶的網絡與外部的網絡相隔。防火牆技術能夠在很大程度上阻擋外部的入侵，同時還能避免繫統內部對外部網絡進行非法訪問。簡單地說，防火牆就是在內部繫統和外部網絡之間建立起一層保護層，在這個保護層中有各種各樣的硬件和軟件設施，能夠區分用戶內部網絡和外界網絡、公告網絡等。防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。任何外部的訪問都需要經過這幾個部分的驗證後纔被允許，而無法通過防火牆驗證的訪問則被限制在了防火牆的外部，這樣就能在限度上防止黑客和病毒的入侵，篩除非法訪問，避免網絡內部的信息被隨意篡改。防火牆技術開始是為了避免Internet網絡中的不安全因素，而當前該技術已經在局域網和互聯網中得到廣泛應用，成為基礎性的網絡安全保護設施。
2. 路由器防護
路由器具備了完備的安全功能，有時甚至要比防火牆的功能還完備。現在的大多數路由器都具備了健壯的防火牆功能，還有一些有用的IDS/IPS功能，可以作為健壯的QoS 和流量管理工具，當然還具備強大的VPN 數據加密功能。綜上，路由器完全有能力為網絡增加安全性。同時，利用現代的VPN 技術，可以相當簡便地為企業WAN上的所有數據流進行加密。通常，主要從以下4個方面實現路由器防護。
1) 對路由器設置特定的IP地址
當設置路由器時，首先是在瀏覽器中輸入路由器的管理地址，進入路由器管理界面，但是，有時為了安全考慮，網絡管理員會修改路由器的默認管理地址為其他地址。
一般情況，用戶都是從WLAN內獲得對路由器基於Web的管理接口的訪問，不需要遠程管理路由器。但這種方式並不安全，較安全的做法是，用戶首先使用虛擬專用網絡(VPN)安全地連接到本地網絡，然後再訪問路由器的接口。采用這樣的方式，攻擊者就不能從網絡直接訪問路由器了。
如果用戶采取上述保護方法，就可以進一步鎖定自身的路由器了。此外，通過指定一個互聯網協議(IP)地址，用戶就可以管理路由器。具體方法如下: 用戶通過手動配置計算機，使其在需要連接到路由器時，通過路由器的動態主機配置協議(DHCP)自動使用尚未分配給WLAN上其他設備的特定IP地址。
用戶還可以試著將他們的路由器的LAN IP地址更改為DHCP地址池中的個地址以外的地址。這樣就把路由器從整個網絡分開，有助於保護路由器免受跨站點請求偽造(CSRF)的攻擊。
2) 拒絕使用無線安全設置
對於一般用戶，無線安全設置(WPS)提供了一個相對簡便的加密方法。通過該功能，不僅可以將具備WPS功能的WiFi設備和無線路由器進行快速互聯，還可以隨機產生一個8位數字的字符串作為個人識別號碼(PIN)進行加密操作，省去了客戶端連入無線網絡時，必須手動添加網絡名稱(SSID)及輸入冗長的無線加密密碼的煩瑣過程。
路由器制造商認為對無線網加密是一個復雜的過程，為了方便用戶，於是設計開發了WPS功能。該功能允許新用戶通過輸入一個8位數的PIN加入網絡，當正確提交時，將更復雜的PSK傳送到其設備並存儲。
然而，任何容易設置的東西同時也容易遭到攻擊。美國計算機應急準備小組(USCERT)在2012年就把WPS的安全漏洞公之於眾。早在2011年，就有攻擊者可以強制獲得有線等效保密(WEP)或WiFi保護訪問(WPA)的密碼了。目前還沒有針對WPS缺陷的通用補丁，除非設備生產商把所有的設備進行更新。
3) 考慮網絡分段和MAC地址過濾
網絡分段和無線MAC地址過濾都可以有效控制無線網絡內用戶的上網權限，實施分離的VLAN就可以將物聯網設備與其他部分隔離。如果攻擊者侵入並訪問VLAN，則在大多數情況下不會影響其他的連網設備。
為了進一步加強安全，用戶可以利用每個計算設備的媒體訪問控制(MAC)地址或其的硬編碼標識符將該設備列入白名單，並批準其對無線網的訪問，那些沒有訪問權限的設備則無法連接到路由器。
4) 端口轉發和IP過濾結合使用
家庭路由器都配有防火牆，以便阻止互聯網上的所有設備與本地網絡上的設備連接。
路由器和計算設備通常具有通用即插即用(UPnP)的特征。路由器UPnP功能用於實現局域網計算機和智能移動設備，通過網絡自動彼此對等連接，而且連接過程無須用戶的參與。但並不是用戶都希望他們的設備被自動連接，這時用戶可以設置端口轉發。端口轉發是一組防火牆入站規則，告訴路由器讀取每個傳入數據包的源IP地址、TCP中的源端口號等其他特性。根據這些特性，路由器就可以對特定的設備發送數據包或阻止不符合特性的訪問。
端口轉發和IP過濾結合使用所起的作用就是指定哪些IP地址可以使用哪些特定端口，纔能連入網絡，這樣在一定程度上提高了路由器的安全性。
3. 交換機防護
交換機實際是一個為轉發數據包優化的計算機，但是隻要是計算機，就有被攻擊的可能，如非法獲取交換機的控制權，導致網絡癱瘓以及受到DoS攻擊等。此外，交換機可以作生成權維護、路由協議維護、ARP、建路由表，維護路由協議，對ICMP報文進行處理，監控交換機，這些都有可能成為黑客攻擊交換機的手段。
傳統交換機主要用於數據包的快速轉發，強調轉發性能。隨著局域網的廣泛互聯，加上TCP/IP本身的開放性，網絡安全成為一個突出問題，網絡中的敏感數據、機密信息被洩漏，重要數據設備被攻擊，而交換機作為網絡環境中重要的轉發設備，其原來的安全特性已經無法滿足現在的安全需求，因此傳統的交換機需要增加安全性。
在網絡設備廠商看來，加強安全性的交換機是對普通交換機的升級和完善，除了具備一般的功能外，這種交換機還具備普通交換機不具有的安全策略功能。這種交換機從網絡安全和用戶業務應用出發，能夠實現特定的安全策略，限制非法訪問，進行事後分析，有效保障用戶網絡業務的正常開展。實現安全性的一種做法就是在現有交換機中嵌入各種安全模塊。現在，越來越多的用戶都表示希望在交換機中增加防火牆、VPN、數據加密、身份認證等功能。
安全性加強後的交換機本身具有抗攻擊性，比普通交換機具有更高的智能性和安全保護功能。在繫統安全方面，交換機在網絡由核心到邊緣的整體架構中實現了安全機制，即通過特定技術對網絡管理信息進行加密、控制；在接入安全性方面，采用安全接入機制，包括IEEE 802.1x接入驗證、RADIUS/TACACST、MAC地址檢驗以及各種類型虛擬網技術等。不僅如此，許多交換機還增加了硬件形式的安全模塊，一些具有內網安全功能的交換機則更好地遏制了隨著WLAN應用而泛濫的內網安全隱患。
目前交換機中常用的安全技術主要包括以下4種。
1) 流量控制技術
把流經端口的異常流量限制在一定範圍內。許多交換機具有基於端口的流量控制功能，能夠實現風暴控制、端口保護和端口安全。流量控制功能用於交換機與交換機之間在發生擁塞時通知對方暫時停止發送數據包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設定值的廣播流量進行丟棄處理。然而，交換機的流量控制功能隻能對經過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定範圍內，無法區分哪些是正常流量，哪些是異常流量。同時，設定一個合適的閾值也比較困難。
2) 訪問控制列表(ACL)技術
ACL通過對網絡資源進行訪問輸入和輸出控制，確保網絡設備不被非法訪問或被用作攻擊跳板。ACL是一張規則表，交換機按照順序執行這些規則，並且處理每一個進入端口的數據包。每條規則根據數據包的屬性(如源地址、目的地址和協議)選擇允許或拒絕數據包通過。由於規則是按照一定順序處理的，因此每條規則的相對位置對於確定允許和不允許什麼樣的數據包通過網絡至關重要。
如今，業界普遍認為安全應該遍布於整個網絡內，內網到外網的安全既需要通過防火牆之類的專業安全設備解決，也需要交換機在保護用戶方面發揮作用。目前絕大多數用戶對通過交換機解決安全問題抱積極態度，近75%的用戶打算今後在實踐中對交換機采取安全措施，希望通過加固遍布網絡的交換機實現安全目標。
3) “防護”需要出色的體繫結構
優秀的防護首先要有一個出色的體繫結構設計。現在，很多交換機產品都采用全分布式體繫結構設計，通過功能強大的ASIC芯片進行高速路由查找，使用長匹配、逐包轉發的方式進行數據轉發，從而大大提升了路由交換機的轉發性能和擴充能力。
4) IPv6技術
近幾年來，IT技術迅速發展，用戶日益豐富的應用需求以及越來越多終端設備對網絡的需求促使現有的IPv4類型IP地址呈現枯竭之勢。相關調查機構的數據顯示，全球可提供的IPv4地址大約有40億個，估計在未來5年間將被分配完畢。而我國的情況更嚴峻，2017年我國網民已突破8000萬，截止到2017年年底，我國總共申請到的IPv4的地址為6000萬左右。一些業內專家明確指出，若不解決IP地址問題，將會成為我國乃至世界IT業界以及其他相關行業發展的瓶頸。於是，IPv6成了解決IPv4地址匱乏的關鍵。
現有互聯網采用的IPv4協議初設計是用於教育科研網和企業網，因此在協議的設計中很少關注網絡的安全性，導致目前的互聯網絡自身的安全保護能力有限，許多應用繫統處於不設防或很少設防的狀態，存在著太多的安全隱患，並且情況日趨嚴重和復雜。目前的病毒早已不再是傳統的病毒，而是混合了黑客攻擊和病毒特征於一體的網絡攻擊行為。2003年，繫統漏洞問題首次大規模成為人們關注的焦點，目前，除微軟的繫統漏洞外，像某型路由器、數據庫、Linux操作繫統、移動通信繫統以及很多特定的應用繫統中，均存在大量的漏洞，尤其是在關鍵應用繫統中，如金融、電信、民航、電力等繫統，漏洞一旦被黑客利用，造成的後果將不堪設想。
隨著用戶需求和業務的不斷發展，互聯網安全成為實現創新業務和贏利商業模式的前提。由於IPv4地址的短缺，無法實現端到端的安全性，解決的辦法是采用網絡地址轉換(NAT)技術，或利用端口復用技術，或使用私有IP地址，以擴大公有IP地址的使用率。NAT方式在原來的客戶/服務器模式的應用上可以很好地使用，但新型應用越來越多地依賴於對等方式通信。此外，對於大量增長的終端等在線設備來說，端到端的尋址變得非常重要。由於NAT方式無法保證端到端通信，這就限制了很多新業務的開展，嚴重阻礙了互聯網產業發展。因此，端到端的安全性是未來業務的基本特性，隻有借助IPv6豐富的地址空間實現真正的端到端，纔能保證下一代互聯網多種新業務的開展和成熟商業模式的形成。
3.3.2技術角度的防護措施
網絡設備的漏洞防護主要需要從以下幾大方面著手。
1. 設備自身的安全性
設備自身的安全性包括設備繫統版本是否存在漏洞和硬件是否存在後門等。對於漏洞等技術上的問題，通常會有相應的解決方案，例如，通過關閉服務規避或升級軟件修復漏洞等，但現實卻是大量的設備使用方並沒有及時采用這些方案和措施，因而導致網絡設備被利用和攻擊。
2. 設備配置安全
需考慮設備配置是否得當，其中設備的配置包括管理配置以及策略配置。
3. 賬號口令設置及用戶權限分配
修改默認管理員的賬號和密碼；根據自己的實際需求建立相應的用戶賬號，並隻為之分配必要的權限，然後設置一個復雜的密碼，並定期修改；修改默認的登錄參數，以提高安全性。
4. 設備的訪問控制
使用專用的管理口對設備進行管理，並配置隻允許特定IP有訪問設備管理IP的權限，盡量不向外網開放設備的訪問權限。對於設備提供的5種管理方式 “串口”、HTTP、HTTPS、SSH、Telnet，建議不要使用HTTP和Telnet方式對設備進行管理，原因在於這兩種方式在傳輸用戶名和密碼時都是明文，很容易被惡意用戶探測到。後，需要修改默認的管理端口。
5. 將設備的日志發送到服務器
設備重啟後，有些設備日志會被清空。為了更好地保存日志，建議將日志發送到專門的服務器保存。這樣，在出現問題或發生安全事件後，可以方便地通過日志分析原因。
3.3.3管理角度的防護措施
為了快速有效地提升網絡設備防護，除了完善網絡設備在安全管理方面存在的不足外，同時在一定程度上也需要規避技術上的缺陷，有效提升設備運行安全性。為降低網絡設備的安全風險，針對漏洞、後門、DDoS攻擊等安全問題，實現動態、持續、有效防護，需要從防護意識、防護制度和安全配置等方面進行針對性的完善和提升，具體如下。
1) 增強網絡設備安全防護意識是基礎
針對網絡設備的安全防護，首先要增強人們的安全防護意識，充分認識到網絡設備的安全重要性。例如，設備使用方需要了解如果發生攻擊事件，可能導致的嚴重後果是什麼；可能的攻擊路徑有哪些，如何防範和監測；出現安全問題時如何快速響應。增強安全防護意識還要求設備使用方持續關注所用網絡設備的安全威脅情報，出現新的漏洞時要及時跟進，了解臨時防護措施，實現動態的、持續的安全防護。
2) 健全並實施合理的網絡設備安全管理制度是關鍵
制定並實施合理的網絡設備防護管理制度，是實現網絡設備安全防護的有效手段。在設備使用方的防護管理制度中，不可忽視對網絡設備的安全防護管理。例如，在人員方面，需要配置專業的管理人員，對相關人員定期進行安全意識和技能培訓；在設備管理權限方面，嚴格限制配置修改權限，實現分級分權管理，具備差異化的口令要求以及口令嚴格保密要求等。
3) 持續保障配置安全是核心
網絡設備的防護問題大部分源於安全配置的缺乏。網絡設備的安全配置可重點從以下4個方面入手: 一是配置嚴格的遠程訪問控制，限制訪問路徑；二是關閉無用的對外服務，遵循“小夠用”原則；三是配置日志審計和日志備份，實現有效審計和溯源；四是定期檢查軟件版本，及時修復已知漏洞，安全升級。
思考題
1. 常見的網絡設備漏洞有哪些？
2. 常見的交換機漏洞有哪些？各有什麼特點？
3. 掃描器的重要性體現在哪些方面？
4. 常見的掃描技術包含哪些？
5. 從哪些方面可以對網絡設備漏洞進行防護？第4章第4章操作繫統漏洞及其
防範措施



操作繫統(Operation System，OS)是管理和控制計算機硬件與軟件資源的計算機程序，是用戶和計算機的接口，同時也是計算機硬件和其他軟件的接口。本章主要介紹操作繫統的基礎知識。通過本章的學習，達到理解操作繫統的基本概念、操作繫統常見的漏洞、操作繫統漏洞的發展趨勢、操作繫統的安全掃描以及漏洞的防護等目標。4.14.1操作繫統的基本概念操作繫統是直接運行在“裸機”上的基本的繫統軟件，任何其他軟件都必須在操作繫統的支持下纔能運行。
作為一個底層的繫統軟件，操作繫統肩負諸如管理與配置內存、決定繫統資源供需的優先次序、控制輸入與輸出設備、操作網絡與管理文件繫統等基本事務。操作繫統是一個龐大的控制管理程序，包括進程與處理機管理、作業管理、存儲管理、設備管理、文件管理。所有的操作繫統都具有並發性、共享性、虛擬性和不確定性。
在信息繫統的安全中，操作繫統的安全至關重要，其安全職能是其他軟件安全職能的根基。一方面，操作繫統直接為用戶數據提供各種保護機制，如實現用戶數據之間的隔離；另一方面，為用戶程序提供可靠的運行環境，保證應用程序的各種安全機制正常發揮作用，如禁止數據管理繫統之外的應用程序直接操作數據庫文件，以防數據庫繫統的安全保護機制被繞過。
在計算機網絡環境中，整個網絡的安全依賴於其中各主機繫統的安全可信性。如果沒有操作繫統安全作為基礎，就談不上主機繫統和網絡的安全。因此，操作繫統的安全是整個信息安全體繫的基石。4.24.2操作繫統的常見漏洞4.2.1Windows繫統的常見漏洞
Windows操作繫統以其操作方便、界面友好等特點深受全球用戶的歡迎，是目前個人計算機上安裝使用多的操作繫統。但其也被發現了大量的漏洞，其中相當部分可以被入侵者利用，進而控制繫統。本節主要對這些常見漏洞的攻擊原理進行簡單介紹。
漏洞掃描與防護第4章操作繫統漏洞及其防範措施1. 權限許可和訪問控制漏洞
Microsoft Windows中的Edge存在提權漏洞，該漏洞源於程序沒有正確地強制執行跨域策略。攻擊者可利用該漏洞跨域訪問信息、執行操作(更改權限、刪除內容或向瀏覽器中注入惡意的內容)，並將該信息注入其他域。以下版本容易受該漏洞的影響: Microsoft Windows 10、Windows 10版本1511、Windows 10版本1607、Windows 10版本1703、Windows 10版本1709、Windows Server 2016。
2. 信息洩漏漏洞
Microsoft Windows中存在信息洩漏漏洞，該漏洞源於its://協議處理器不必要地將流量發送到遠程網站，決定請求區域。攻擊者可利用該漏洞實施暴力破解攻擊，獲取相應的散列密碼。
3. 遠程代碼執行漏洞
Microsoft Windows RPC存在遠程代碼執行漏洞。由於遠程訪問服務處理請求方式不當，遠程攻擊者可利用漏洞執行任意代碼。
4. 安全繞過漏洞
Microsoft Windows中的Device Guard存在安全繞過漏洞，該漏洞源於程序未能正確地驗證不可信的文件。攻擊者可借助未簽名的文件利用該漏洞執行惡意文件。
5. GDI組件信息洩漏漏洞
Microsoft Windows 7 SP1是一套個人計算機使用的操作繫統。Windows Server 2008 SP2和R2 SP1是服務器操作繫統。GDI component是其中的一個圖形設備接口組件。Microsoft Windows 7 SP1、Windows Server 2008 SP2和R2 SP1中的GDI組件存在信息洩漏漏洞，該漏洞源於程序未能正確地公布內核內存地址。本地攻擊者可通過登錄受影響的繫統並運行特制的應用程序利用該漏洞獲取信息。
6. Kernel API權限提升漏洞
Kernel API是Windows操作繫統的內核API。Microsoft Windows中的Kernel API存在權限提升漏洞。攻擊者可借助特制的應用程序利用該漏洞注入跨進程通信，中斷繫統功能。
7. Kernel本地信息洩漏漏洞
Microsoft Windows中的Kernel存在本地信息洩漏漏洞。攻擊者可通過登錄受影響的繫統並運行特制的應用程序利用該漏洞檢索信息，繞過地址空間布局隨機化(ASLR)技術。
8. Server Message Block權限提升漏洞
Server Message Block(SMB)Server是Windows操作繫統的一個為計算機提供身份驗證、用以訪問服務器上的打印機和文件繫統的組件。Microsoft Windows中的SMB Server存在權限提升漏洞。攻擊者可通過登錄繫統並運行特制的應用程序，利用該漏洞繞過安全檢查，控制受影響的繫統。
9. 輸入驗證漏洞
Microsoft Windows輸入驗證漏洞存在於多個版本的Windows繫統中，遠程攻擊者可借助特制的.LINK文件利用該漏洞執行任意代碼。
10. WPAD服務權限提升漏洞
Windows默認開啟的WPAD服務中存在權限提升漏洞，攻擊者可利用該漏洞遠程控制Windows繫統，並且能夠獲取繫統的權限。
攻擊者首先需要偽造NetBIOS連接(即攻擊者使用的終端偽裝成NetBIOS可識別的目標)，與目標網絡或主機產生通信可能。通過偽裝方式，隻要支持建立NetBIOS通信，即使目標網絡或主機處於局域網中，攻擊者也有可能繞過防火牆和NAT設備，將網絡流量通過互聯網全部重定向到攻擊者的計算機。可以預見的攻擊場景有: 攻擊者將終端偽裝成網絡設備(例如，打印機服務器或文件服務器)，即可監聽未加密流量，也可以發起中間人攻擊，如攔截和篡改Windows更新下載、向用戶網絡請求返回中植入惡意頁面(URL)；此外，攻擊者還可通過Edge、Internet Explorer、Microsoft Office或Windows上的許多第三方軟件利用該漏洞，也有可能通過其他類型網絡服務或者通過本地端口驅動組件進行利用。綜合業內各方研判情況，該漏洞影響版本範圍跨度大、利用方式穿透繞過能力強，一旦漏洞細節披露，將造成極為廣泛的攻擊威脅，或可誘發APT攻擊。
11. 快捷方式漏洞
快捷方式漏洞是Windows Shell框架中存在的一個危急安全漏洞。在Shell32.dll的解析過程中，會通過“快捷方式”的文件格式逐個解析: 首先找到快捷方式指向的文件路徑，接著找到快捷方式依賴的圖標資源。這樣，在Windows桌面和開始菜單上就可以看到各種圖標，當點擊這些快捷方式時，就會執行相應的應用程序。
微軟Lnk漏洞就是攻擊者利用繫統解析的機制，惡意構造出一個特殊的快捷方式(Lnk)文件來騙操作繫統。當Shell32.dll解析到這串編碼的時候，會認為這個“快捷方式”依賴一個繫統控件(dll文件)，於是將這個“繫統控件”加載到內存中執行。如果這個“繫統控件”是病毒，那麼Windows在解析這個Lnk文件時，就把病毒激活了。該病毒很可能通過USB存儲器進行傳播。
12. SMB協議漏洞
SMB協議主要作為Microsoft網絡的通信協議，用於在計算機間共享文件、打印機、串口等。當用戶執行 SMB2協議時，繫統將會受到網絡攻擊，從而導致繫統崩潰或重啟。因此，隻要故意發送一個錯誤的網絡協議請求，Windows 7繫統就會出現頁面錯誤，從而導致藍屏或死機。
4.2.2其他常見的操作繫統漏洞〖*2〗1. UNIX操作繫統漏洞UNIX繫統因其性能穩定可靠，在金融、保險等行業得到廣泛的應用。但是，目前UNIX繫統仍有一些軟件本身存在著安全隱患。本節探討UNIX繫統存在的漏洞，具體如下。
1) UNIX繫統與環境變量相關的安全漏洞
(1) IFS。
一種攻擊的方法是通過輸入域分隔符(Internal Field Seprator，IFS)Shell變量實現的。該變量用於決定傳給Shell的字符串分隔符。例如，一個程序調用函數system()或popen()執行一個命令，那麼該命令首先由Shell分析。如果執行的用戶可以控制IFS環境變量，可能會導致不可預測的結果。
(2) Home。
另一種環境攻擊的方法是通過使用Home環境變量。通常，csh和ksh在路徑名稱中用字符“～”代替該變量。因此，如果一個入侵者能改變該值，就能利用一個使用字符“～”作為 Home 命令的Shell文件破壞繫統安全。
(3) Path。
用Path攻擊的方法特征是利用Path環境變量文件路徑的值和順序。如果執行的命令不是以路徑方式執行，則不合理的路徑順序會導致意外的結果。
(4) Umask值。
默認的文件保護掩碼(Umask)的設置經常是不正確的。許多程序沒有檢查Umask的值，而且經常忘記指定新建文件的保護掩碼值。即使該程序創建了一個文件，也容易忘記改變其保護模式而使之安全。入侵者可以利用這一點更改可寫的文件。因此，在建立任何文件前，要先建立一個Umask值。
2) UNIX繫統源程序代碼的漏洞
(1) 緩衝區溢出。
不好的編程習慣也會導致軟件的安全漏洞。一個典型的利用該漏洞的例子是Morris蠕蟲。該漏洞利用了繫統調用gets()在執行時不檢查參數的長度，而fgets()繫統調用沒有這個問題。上述漏洞使得在用戶的控制下緩衝區會溢出，因此程序會出現不可預測的結果。另外，還有幾個繫統調用也存在同樣的漏洞，它們是scanf()、sscanf()、fscanf()和sprintf()。
(2) 狀態返回值。
另一個經常存在的漏洞是不檢查每個繫統調用的返回值。這意味著入侵者如果可以控制程序運行環境，就能調用一個失敗的繫統，而調用在用戶程序中卻認為是永遠會正確對待的。這會使用戶的程序出現不確定的結果。
(3) 捕捉信號。
在很多情況下，程序員編寫的程序不捕捉它可以接收的信號，因此執行的結果會有異常情況。這允許一個入侵者設置其Umask為某個值，之後向一個特權(具有特殊用戶權限)程序發送一個信號——該信號使特權程序產生core文件(有的繫統不允許產生core文件)。此時，該core文件的所有者是執行該程序的Uid，但是它的保護掩碼是由Umask設置的。
3) 特洛伊木馬
特洛伊木馬與一般用戶想要執行的程序從外觀上看(如文件名)很相似，如編輯器、登錄