数据驱动式攻击

数据驱动攻击技术及其新发展
　　数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。

　　第1种，缓冲区溢出攻击。缓冲区溢出攻击的原理是向程序缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。近年来著名的蠕虫如Code-Red、SQL.Slammer、Blaster 和Sasser 等，都是通过缓冲区溢出攻击获得系统权限后进行传播。

　　第2种，同步漏洞攻击。这种方法主要是利用程序在处理同步操作时的缺陷，如竞争状态。信号处理等问题，以获取更高权限的访问。发掘信任漏洞攻击则利用程序滥设的信任关系获取访问权的一种方法，著名的有Win32 平台下互为映像的本地和域Administrator 凭证、LSA 密码（Local SecurityAuthority）和Unix 平台下SUID 权限的滥用和X Window 系统的xhost 认证机制等。

　　第3种，格式化字符串攻击。这种方法主要是利用由于格式化函数的微妙程序设计错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。输入验证攻击针对程序未能对输入进行有效的验证的安全漏洞，使得攻击者能够让程序执行指定的命令。

　　下面是一个很有代表性的例子。打开某些网页时，可以把网址中的“/”换成“%5c”然后提交，这样就可以暴出数据库的路径。成功后，会有类似的提示：“确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。” 在Google或者百度中，搜索关键词“wishshow.asp?id=”，找到一些具有缺陷的的许愿板程序。本例是一个台湾测试站点，地址为http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117。在wish后，用“%5c”替换“/”，地址就变成了http://web.gges.tp.edu.tw/asp/wish%5c wishshow.asp?id=117，这样就可以暴出对方数据库了。根据错误提示，数据库是db.mdb，而且还可以直接下载。如图4所示。



　　“%5c”并不是网页本身的漏洞，而是利用了IIS解码方式的一个缺陷。实际上是“/”的十六进制代码，是“/”的另一种表示法。但是，提交“/”和“%5c”却会产生不同的结果。在IE中，我们把下面第一个地址中的“/”换成“/”提交：

　http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117

　http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117


　　二者的访问结果是一样的。IE会自动把“/”转变成“/”，从而访问到同一地址。但是，当我们把“/”换成十六进制写法“%5c”时，IE就不会对此进行转换，地址中的“%5c”被原样提交了。2007年以来，针对网站、论坛等程序的攻击依然是一大热点，一些大学网站、论坛甚至一些知名企业的站点都遭遇了不同程度的攻击。比较热门的事件有：OBlog2.52文件删除漏洞、COCOON在线文件管理器上传漏洞、PJBlog v2.2用户提权再提权、BBSXP 6.0 SQL版的版主提权漏洞、雪人“SF v2.5 for Access”版论坛漏洞等，这些攻击手法都综合了多种技巧，尤其是数据驱动攻击技术的运用。