没有合适的资源?快使用搜索试试~ 我知道了~
如何修补系统漏洞?一、程序为什么会出错?二、如何理解漏洞造成的风险?三、漏洞评估方法和步骤四、查找检测漏洞的方法五、如何修复和检测Windows系统漏洞六、Windows系统常用漏洞修补工具介绍
资源推荐
资源详情
资源评论
如何修补系统漏洞?
作者: 李晨光
一、程序为什么会出错?
程序只能严格按照规则做编程有要它做的事情。但是,最终编写的程序并不总是与程序
员预计让程序完成的事情一致。下面的这个笑话可以说明这一问题:
一个人在森林中行走,在地上发现了一盏魔灯。他本能地捡起了魔灯并且用袖子擦拭它。突
然,从瓶子里出来了一个魔鬼。魔鬼感谢这个人使他获得了自由,并答应要满足他的三个愿
望。这个人欣喜若狂,他确实知道自己想要什么。
“第一”,这个人说,“我想要十亿美元。”
魔鬼很快地晃了一下手指,满满的一袋子钱出现了。
这个人惊奇地睁大眼睛继续说道:“接下来,我想要一部法拉利。”
魔鬼一晃手指,很快地在烟雾中出现了一部法拉利。
这个人继续说:“最后,我想变得对女人有极大的诱惑力。”
魔鬼一挥手指,这个人变成了一盒巧克力。
正像这个人的最后一个愿望的实现是基于他的言语,而不是他的真实想法一样,程序按
照指令执行,由于软件漏洞结果出了问题并不总是程序员想要的。有时结果甚至是灾难性的。
我们都知道现在软件变得更加复杂,软件越复杂,就越难预测它在各种可能场景下的反应方
式,也就越难保证其安全性,当今的操作系统和应用程序的代码行数也越来越多,例如
Windows XP 大约有 4 千万行代码,Vista 大约 5 千多万以上,Windows 7 估计达到上亿行。
业界通常使用这样的一个估算方式,即每 1000 行代码中大约有 5~50BUG。因此,从平均意
义上能估计出 Windows xp 中大约有多少个 BUG(只是理论上。) 我们都知道黑客对操作系
统的攻击都是利用系统软件中的漏洞进行的。那么我们怎么理解什么是漏洞呢?在过去,很
多人把漏洞看作是有恶意的人能够利用的软件或硬件的缺陷。然而,在近几年中,漏洞的定
义发展成为有恶意的人能够利用的软硬件的缺陷及配置错误。
我们知道了软件有漏洞如何来管理呢,从表面上看,漏洞管理像是个简单的工作。通常
是在操作系统上装上一些常用的补丁修补工具,然后自动进行修补,不幸的是,在大部分组
织的网络中,漏洞管理既困难又复杂。一个典型的组织中包含定制们有不同的需求,不能只
做简单地保护,更不能置之不理。软件厂商仍会发布不安全的代码,硬件厂商也不会将安全
内建在产品中,因此这些问题就留给了系统管理员来处理。加入这些必须遵守的规定使管理
者感到紧张,并且处于一种高压状况下,容易导致犯严重的错误。
厂商通过不同的途径发现一个漏洞。在理想的情况下,厂商在发布产品之前,会找出并
解决所有的安全问题。但是代码的复杂性,加上严格的开发周期,易于产生安全方面的错误。
通常一个独立的或商业的安全研究组织会将漏洞告知厂商,并且在有些情况下,厂商会与公
众同时发现漏洞,这时不用事先通知,漏洞就被公开了(这时候就会被利用啊)。
二、如何理解漏洞造成的风险?
不管一个漏洞是如何公开的,该漏洞都对一个组织造成了风险。漏洞带来的风险大小取
决于几个因素:厂商对风险的评级、组织中受影响系统的数量、受影响系统的危险程度和暴
露程度。比如一个大的银行机构采取措施把所有的金融核算系统都放在网络中,并且置于独
立的防火墙之后。尽管分离重要的系统是一种很好的策略,但是有一个因素没有考虑到有大
量的员工需要访问这些数据。因此,实际拥有的只是一个用作昂贵日志系统的防火墙,该防
火墙允许一部分客户端通过。当然,防火墙可以阻止一些威胁,但是如果威胁来自一个允许
通信的通道,那么防火墙就没有帮助了。正确的解决方案是把整个部门放在隔离的网络中,
不允许任何来自网络外部的访问。
三、漏洞评估方法和步骤
在一个企业中查找出漏洞需要付出很大的努力,不能简单地在所选的地方安装一个漏洞
扫描软件并简单地按下“开始”按钮,那样是不起作用的。这不是因为现在的企业拥有成千
上万的服务器和主机,这些服务器和主机又通过上百个速率不同的网络线路连接起来,只是
我们在期望的时间内根本无法获得所需的覆盖范围。那么需要做什么呢?我们需要对漏洞进
行评估,看到这里有的人可能会把漏洞评估跟军队中的侦察任等同起来,侦察任务的主要目
的是向前进入外国的领土,并且查找出敌军的弱点和易攻击的地方。漏洞评估是帮助企业领
导、安全专家及黑客在网络、应用和系统中确定安全责任的安全实践活动。实施漏洞评估的
方法和步骤分为:信息收集/发现、列举和检测。
1.信息收集/发现
包括为查找目标拥有的所有域名而进行的 whois 查询以及为确定与目标相关的 IP 地址范
围而通过网站如 www.arin.net 对可能的目枴标和 IP 地址进行的查询。
使用 Nmap 软件,我们能够很快确定网络上哪些主机是在线的,如图 2. 2 所示。在 Nmap
中使用-s P(ping 扫描)选项对目标网络执行 ping 扫描。这可以帮助确定哪些主机是活动的
和有效的。一旦确定信息后,信息收集/发现的工作就完成了。现在可以继续进行第二步,
列举并确定目标运行什么操作系统和应用程序。
2.列举
列举是用来判断目标系统运行的操作系统获取操作系统指纹和位于目标上的应用程序的过
程。在确定操作系统后,下一步就是确定运行于主机上的应用程序。端口 0~1023(共 1024
个)被称为熟知端口。
仍然使用 Nmap,我们用它的-sV 选项来确定什么应用程序位于什么端口。端口在漏洞评
估中扮演了一个很关键的角色,因为它确保将漏洞对应到各自应用程序。如果确信有问题的
主机在端口 443 上运行的是安全 Web 服务器而不是一个电子邮件服务器,那么很可能就不
会发现该主机的漏洞,从而认为系统将来不可能被渗透。当信息收集工作和列举工作完成后,
现在可以在目标系统上检测漏洞了。
3.检测
检测用来确定一个系统或应用程序是否易受攻击。这一步并不
是确定漏洞是否存在,漏洞是否存在由渗透测试来完成。检测过
程只是报告漏洞出现的可能性。
为了检测漏洞,我们需要使用一个漏洞评估工具,如 Tenable
Network Secuitye 的 Nessus 工具、 OpenVAS 工具或者
eEyeDigital Security 的 Retina 工具(这款强大工具放到最后再
做介绍)。不过这两个工具都是收费的。另外我们还可以利用在
Metasploit 内部框架中加载 Nessus 这一强大的漏洞扫描工具在进
行渗透测试,这里就不在详细讲述。
利用 Ossim 系统检测主机漏洞
Ossim 是一款开源安全平台,接下来我们看看通过 Ossim 系统中的 Openvas
来扫描系统漏洞的例子,工作界面截图所下图所示。
四、查找检测漏洞的方法
在传统方法中,要探测操作系统级或应用程序级的漏洞时,则会在整个企业中安装一些
漏洞评估扫描软件。这些扫描软件负责检查网络主机(信息收集),发现可能的应用程序(列
举),并且确定漏洞(检測)。漏洞评估扫描器通常是运行漏洞评估软件的网络工具或运行在
一个企业自己资产中的漏洞评估软件。
现在漏洞修复技术比过去发生了很大变化。修复技术已经从手工修复进入了自动化过
程,从修复知识库中提取漏洞评估数据在选择一个方案之前,我们应该认,到修复工作的范
围。我们只需要考虑 Windows 系统或是 UNIX/Linux 系统。
1.利用配置工具评估漏洞
许多组织已经在管理/配置工具上做了投资,常常利用这些工具做一些相当常规的工作,
但是通过扩展这些工具来从我们的环境中提取漏洞数据。以赛门铁克 Symantec,以前的 Bind
View 产品作为例子,使用这两个产品,一个组织能处理大部分日常的 windows 活动目录(AD)
操作,相反,我们也可以用这些产品来发现组织中的漏洞。为了更好地理解,下面看一个
BindView 的部署。
2.漏洞评估工具
一个好的工具最少要有的特征:低的误报率(false positives)、零漏报率(false negatives)、一
个完整的检测数据库、对网络流量的影响小、直观的和可定制的报告引擎。
漏洞扫描产品
目前,很多漏洞扫描产品都被开发出来,不同的软件扫描漏洞的功能存在一定的差异,有些
扫描软件还带有一定的入侵性质,例如 X-Scan、Shadow Security Scanner 和流光等。
2.1 商业漏洞管理工具:
1. eEye digital Security
www.eEye.com
eEye Digital Security 在漏洞研究中处于领导地位。它也开发了
一套用来帮助进行漏洞管理的工具。
Symantec (BindView)
www.bindview.com(http://www.symantec.com/business/solutions/index.jsp?ptid=tab2&ctid=tab
2_2)
BindView 的 Compliance Manager 是一个基于软件的解决方案,允许组织对比公司标准或者
行业最好的经验来评估资产,在大多数情况下不需要用到代理。
2. Attachmate (NetIQ)
www. Netiq.Com
NetIQ 的 Compliance 套件是一个 NetIQ 的安全管理器和漏洞管理工具的组合,并且把漏洞扫
描、补丁管理、配置修复和报告整合在一起。NetIQ 漏洞管理器能够通过 AutoSync 技术让用
户定义和维护配置策略模板、漏洞公告板和自动检测。它也有能力根据这些策略评估系统。
3. StillSecure
www. Stillsecure.Com
StiIISecure 是 VAM 的制造商,是一个安全产品的集成套件,能够执行漏洞管理、终端符合性
监控,以及入侵防御和检测。它也包含一个内置的工作流方案(可扩展漏洞修复工作流),
这个方案能够自动地分配修复、进度安排、生命周期追踪和修复确认,所有维护详细的设备
历史记录。
剩余24页未读,继续阅读
资源评论
jiangsucsdn002
- 粉丝: 95
- 资源: 585
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功