扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在2010年波士顿SOURCE大会上,安全研究人员表示,微软Windows的向后兼容性使攻击者能够绕过文件限制或网络安全防御(如入侵检测系统)。
核心安全技术公司的技术支持工程师Dan Crowley,介绍了几种在Web服务器(Nginx、Cherokee、Mongoose和LightTPD)的Windows版本中绕过这些保护的方法。最明显的是在Windows 中使用8.3别名。这些别名是兼容DOS的别名,它们在Windows创建一个文件时创建。这两个文件名都可以被访问,尽管它们不一样。
核心安全技术公司在今年二月报告了8.3文件系统别名漏洞。
8.3别名是8个字符的文件名,还有3个字符的文件扩展名。在Windows中,它们是文件名的前6个字符,后面是一个波形符、一个数字、一个点和文件扩展名(如~1.txt)。在文件名中所有其他字符被Windows截断。Crowley说,这大大增加了暴力攻击的效率,因为猜测文件名所需的时间和资源大大减少了。理论上,攻击者可以通过别名来调用文件,查看源代码,通过上传恶意软件操纵它。文件在下一次被合法调用时,系统就拥有了它。
他补充说,他的所有测试都是在基于Web的平台上完成的,但他表示,任何接受用户输入的应用程序都容易受到这种攻击。
Crowley说,“应用程序进行基于字符串的文件路径分析,这样做是为了决定如何处理文件、拒绝访问或确定恶意输入。这些替代文件名,甚至重整文件名,可以绕过或破坏很多东西。操作系统与文件系统交互,而不是应用程序。正因为如此,它进行基于字符串的分析,将分析传到文件系统,如果它认为合法,就不需要文件系统确认了。”
由IDS规则引起的问题,例如,如果他们寻找example.php,exampl~1就不会被标记。这样攻击者就能访问文件或发送远程代码。
Crowley说,一个缓解方法是禁用8.3别名。
他说,理想情况下,最好的缓解方法是停止基于字符串的文件路径分析。
濠电姷鏁告慨鐑姐€傛禒瀣劦妞ゆ巻鍋撻柛鐔锋健閸┾偓妞ゆ巻鍋撶紓宥咃躬楠炲啫螣鐠囪尙绐為梺褰掑亰閸撴盯鎮惧ú顏呪拺闂傚牊鍗曢崼銉ョ柧婵犲﹤瀚崣蹇旂節婵犲倻澧涢柛瀣ㄥ妽閵囧嫰寮介妸褋鈧帡鏌熼挊澶婃殻闁哄瞼鍠栭幃婊堝煛閸屾稓褰嬮柣搴ゎ潐濞叉ê鐣濈粙璺ㄦ殾闁割偅娲栭悡娑㈡煕鐏炲墽鐭嬫繛鍫熸倐濮婄粯鎷呯粵瀣異闂佹悶鍔嬮崡鍐茬暦閵忋倕鍐€妞ゆ劑鍎卞皬闂備焦瀵х粙鎴犫偓姘煎弮瀹曚即宕卞Ο闀愮盎闂侀潧鐗嗛幊搴㈡叏椤掆偓閳规垿鍩ラ崱妞剧凹濠电姰鍨洪敋閾荤偞淇婇妶鍛櫤闁稿鍊圭换娑㈠幢濡纰嶉柣搴㈣壘椤︾敻寮诲鍫闂佸憡鎸鹃崰搴敋閿濆鏁嗗〒姘功閻绻涢幘鏉戠劰闁稿鎹囬弻锝呪槈濞嗘劕纾抽梺鍝勬湰缁嬫垿鍩為幋锕€宸濇い鏇炴噺閳诲﹦绱撻崒娆戝妽妞ゃ劌鎳橀幆宀勫磼閻愰潧绁﹂柟鍏肩暘閸斿矂鎮為崹顐犱簻闁圭儤鍨甸鈺呮倵濮橆剦妲归柕鍥у瀵粙濡歌閸c儳绱撴担绛嬪殭婵☆偅绻堝濠氭偄绾拌鲸鏅i悷婊冪Ч閹﹢鎳犻鍌滐紲闁哄鐗勯崝搴g不閻愮儤鐓涢悘鐐跺Г閸犳﹢鏌℃担鐟板鐎规洜鍠栭、姗€鎮╅搹顐ら拻闂傚倷娴囧畷鍨叏閹惰姤鈷旂€广儱顦崹鍌炴煢濡尨绱氶柨婵嗩槸缁€瀣亜閺嶃劎鈽夋繛鍫熺矒濮婅櫣娑甸崨顔俱€愬銈庡亝濞茬喖宕洪埀顒併亜閹哄棗浜鹃梺鎸庢穿婵″洤危閹版澘绫嶉柛顐g箘椤撴椽姊虹紒妯哄鐎殿噮鍓欒灃闁告侗鍠氶崢鎼佹⒑閸撴彃浜介柛瀣閹﹢鏁冮崒娑氬幈闁诲函缍嗛崑鍡樻櫠椤掑倻纾奸柛灞剧☉缁椦囨煙閻熸澘顏柟鐓庢贡閹叉挳宕熼棃娑欐珡闂傚倸鍊风粈渚€骞栭銈傚亾濮樺崬鍘寸€规洖缍婇弻鍡楊吋閸涱垽绱遍柣搴$畭閸庨亶藝娴兼潙纾跨€广儱顦伴悡鏇㈡煛閸ャ儱濡煎褜鍨伴湁闁绘ǹ绉鍫熺畳闂備焦瀵х换鍌毼涘Δ鍛厺闁哄洢鍨洪悡鍐喐濠婂牆绀堟慨妯挎硾閽冪喖鏌曟繛褍瀚烽崑銊╂⒑缂佹ê濮囨い鏇ㄥ弮閸┿垽寮撮姀鈥斥偓鐢告煥濠靛棗鈧懓鈻嶉崶銊d簻闊洦绋愰幉楣冩煛鐏炵偓绀嬬€规洟浜堕、姗€鎮㈡總澶夌处