终于看完第二篇漏洞利用原理高级篇,内容虽然看懂了,但深入理解不够,这部分内容以后还要不断强化。
第三篇是漏洞挖掘技术,篇首的话中,提到程序的不可计算性(图灵机的停机问题)、希伯尔数学纲领的失败,结尾说:由于程序的不可计算性,故无法从理论上用数学方法彻底消灭程序中的所有逻辑缺陷,很有启发性。
成为有效的攻击者或者安全专家,不仅需要精通漏洞利用技术,还要掌握漏洞挖掘技术。
工业界目前普遍采用的是 Fuzz 测试,Fuzz 测试最早由 Barton Miller、Lars Fredriksen、Bryan So 在一次偶然的情况下想到,这种方法能 crash 大多数程序,很少误报,能迅速找到漏洞,缺点是无法保证找到所有漏洞。
Fuzz 测试与基于功能性的测试不同,主要目的是 crash、break、destory,是一种自动化的 rough attack,其畸形数据往往可以触发缓冲区溢出,但却不能成功利用,故为 rough。测试员要实时捕捉异常、崩溃和寄存器信息,进行可利用性判断。
攻击者热衷于使用工具,而研究者偏向于对源码进行分析审计,直接在程序的逻辑上寻找漏洞。静态代码分析技术的缺点的误报多。这方面的方法和理论很多,如数据流分析、类型验证系统、边界检查系统、状态机系统,这些都可以追溯到 1976 年 ACM Computing Surveys 上的那篇 Data Flow Analysis in Software Reliability。
以下是一些通过审计源码来检测漏洞的产品:
* Fortify,在编译阶段扫描若干种安全风险。
* Rough Auditing Tool for Security(RATS),用于分析 C/C++ 的语法树,寻找存在安全问题的函数调用。
* BEAM(Bugs Errors And Mistakes),IBM 研发的静态代码分析工具,使用数据流方法分析源码的所有可执行路径。
* SLAM,使用先进算法,用于检测驱动中的 bug,被 Microsoft 所使用,已经成功检测出一些驱动中的漏洞。
* Flaw Finder,David Wheeler 用 Python 开发的代码分析工具,免费。
* Prexis,可审计多种语言的源码,审计的漏洞类型超过 30 种。
动态测试技术
SPIKE
这是一款非常著名的 Protocol Fuzz 开源 Linux 工具,针对网络协议,作者是 Immunity 公司的创始人 Dave Aitel,他引入了基于数据块的理论,将数据的基本单位看成块(block),并实现了一套强大的 API 和数据结构用于定义和构造精确的 Fuzz 用例,避免盲目发送数据,大大提高了测试用例的准确度。Dave Aitel 在 XCON 2006 上演示了如何用 SPIKE 对 Windows 的 RPC 调用进行 Fuzz:将 OllyDbg 的所有异常监听选项打开,并 attack 到目标程序上,然后开始发送畸形数据,如果引起了目标进程出错或者崩溃,就需要去调试看看有没有发现漏洞。许多商用 Fuzz 工具采用 SPIDE 的数据快变异测试的思路。
beSTORM
由 Beyond Security 安全公司设计开发的,运行在 Windows 下,是一款全能开安全审计程序,利用模糊测试技术实现针对网络协议的安全测试。采用分体设计,自动化测试部分为一个独立程序,实时监视部分为另一个独立程序。可以实现对多种不同网络协议进行安全测试,无论明文式还是非明文式。
静态代码审计
Coverity
Coverity 是静态源码分析工具,相当于一个超级编译器。它支持多种 C/C++(ms、gnu、hp-ux、sun、wind river),支持多种系统(windows、solaris、linux、freebsd、mac等),使用 checker 模块来检测漏洞,checker 包括 c checkers(内存、缓冲区、参数、返回值)、concurrency checkers(线程同步、锁机制)、security checkers(可信数据流分析、字符串溢出等)。
Coverity 扩展性很好,可以开发自己的 checker,并且具有友好的 GUI。
Coverity 被不少企业用户使用,包括 Symantec、HP、Panasonic、Samsung 等。
作者研究过静态代码分析,总结说:所有静态代码分析的理论和技术都面临同样一个问题,就是如何处理程序逻辑中由动态因素引起的复杂条件分支和循环。静态分析算法要想取得实质性突破必须面对“彻底读懂”程序逻辑的挑战(停机问题说明检测程序中的死循环是不可计算的),在形式语言中实际要涉及上下文的相关方法,而编译理论和状态机理论只发展到解释上下文无关方法的阶段。