入口点是应用程序能够接受输入的地方,对于攻击者来说,入口点是尝试突破的最佳位置。因此搞清楚有哪些入口点,入口点的安全级别等是非常有必要的。
常见入口点:
1、文件
文件包含用户指定的数据,或程序提交的数据。很多文件可能会以xml这种中间格式存储,或者让用户可以选择文件上传等等。我们常常只是关注了文件的内容,忽略了与这个文件相关的其他数据,比如权限等。
攻击者比较感兴趣的是:
文件包含敏感数据,攻击者可以指定文件名的输入,攻击者可以填充文件内容,攻击者可以迫使应用程序使用攻击者的恶意文件。
我们还得注意注册文件类型
注册表我们可以用程序进行修改,这是非常危险的,因为我们不知道什么时候注册表就被恶意软件给修改了。有时候只是打开一个网站也会被黑。
应用程序也会对文件操作。一个工具FileMon可以实时监控文件系统并显示那个进程正在访问文件盒文件夹。
文件的访问权限也是很重要的,扩展信息也很重要。
2、套接字
这个比较出名了,一些远程控制程序肯定是这样用套接字来控制数据的传输和输入。就像一个门,一个套接字可以开通一个特殊的门,然后可以通过这个门进行一些我们不想做的坏事。
如何查找这些入口点:
列举所有打开的套接字,监控流量。netstat -abn可以查看所有打开的连接。但是有个问题,netstat只能列举打开的套接字,有一些可能在检查时候没有打开的套接字就漏网了,这个时候用流量监控室最好的。Ethereal、sniffer等都是比较好的网络嗅探器。
3、http请求
http基本上是防火墙允许的通过的。使用80端口,也是黑客进场使用的来入侵的。通过http传输的数据容易被劫持,如果没有进行加密的话,很容易就被黑客获取敏感数据了。所以现在网上都进行数据加密。
4、命名管道
有两种,匿名管道、命名管道。
命名管道弱权限、劫持命名管道、模仿客户端等都是可以利用的。
有一个工工具可以来查看所有的管道,Pipelist。
5、可插入协议处理程序
URL,就是被称为协议处理程序,单击,他们会告诉系统调用哪个程序来执行处理这些数据。当然这也就出现了一些漏洞,这样的话被黑客知道也很危险。
Viewplgs.exe可以列举所有的协议处理以及处理他们的程序。
6、恶意服务器响应
让用户感觉服务器没有问题,事实上不是这样的。尤其是在玩游戏的时候,安全是最后考虑的问题。这样被欺骗就是很容易的事情了。
7、程序化接口
RPC、COM、DCOM、ActiveX control、.net remoting等
这些接口可以给攻击者很多可以利用的功能。
8、SQL
大名鼎鼎的SQL注入,就是利用的这个入口。数据库安全是比较重要的,这个SQl就是可以渗透到数据库。
7、用户接口
用户接口允许用户输入数据,那么只要是输入的数据,都有可能称为攻击的对象。
推荐一个软件:Winspector.exe,可以列举机器上的所有进程、窗口以及窗口消息。
8、Email
Email附件通常会被黑客利用。只要你点击了这个附件,你很可能就被攻击了。
9、命令行参数
一般如果可以输入命令行参数的话,/?、-?、/h、-h应用程序会将显示用法,如果黑客知道,也是一个攻击点。
10、环境变量
计算机里面的环境变量,也是一个攻击点。
了解这些入口,可以让你在以后的工作学习中知道哪些是脆弱点,哪些可能是漏洞。