漏洞利用

摘要： 近期出现的Apache Log4j 2远程代码执行漏洞给企业带来巨大的安全威胁。该漏洞利用门槛很低,无需特殊配置,攻击者通过使用一段代码就可远程控制受害者服务器。Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。

摘要： 通过分析企业在面对勒索软件攻击的各种挑战,提出了企业需要监视数字威胁和外部攻击面,以防范此类攻击。事实证明,试图检测勒索软件往往是一个不可能成功的想法或提议。安全团队往往是在漏洞利用程序或漏洞被公之于众的时候才发出报告。攻击者通常在12 h之内就可以开始利用漏洞,其访问内部网络的速度也非常快。

摘要： SSRF(Server-side Request Forgery,服务端请求伪造)漏洞是一种常见的Web应用程序漏洞。攻击者利用SSRF漏洞通过服务器发起对外部网络资源或内部网络资源的请求,达到对信息探测或者漏洞利用的目的。

摘要： 为解决企业在面对日益庞大的漏洞修复体量时找不到重点、无从下手等问题,提出了一种基于决策树算法的提升框架LightGBM (light gradient boosting machine)的漏洞利用预测模型。该模型能在海量安全漏洞或者新公开漏洞中预测漏洞是否存在漏洞利用,从而使企业可以优先关注此类漏洞。首先,通过整理国内外漏洞利用相关的研究成果,发现可被利用的漏洞符合巴莱多定律,并且可以通过机器学习算法实现对公开漏洞的可利用情报预测;其次,收集了近5 a的CVE漏洞信息以及从Sebbug、Exploit-DB等主流漏洞情报平台获取的漏洞利用数据,提取相关特征,构建了一套新的数据集;再次,将漏洞利用预测工作整合为二分类问题,并充分考虑了算法模型在实际工作的场景以及海量数据处理的能力,选取了包括LightGBM、SVM等在网络安全领域应用较多的算法模型,并进行了建模学习;最后,经过多次仿真实验以及参数优化,发现该模型在准确率、召回率等方面均优于其他模型,分别达到了83%和76%,说明该模型具备较好的预测效果和应用价值。同时研究成果也能为企业信息安全工作提供一定的建设思路与数据参考。

摘要： 内核漏洞攻击是针对操作系统常用的攻击手段,对各攻击阶段进行分析是抵御该类攻击的关键。由于内核漏洞类型、触发路径、利用模式的复杂多样,内核漏洞攻击过程的分析难度较大,而且现有的分析工作主要以污点分析等正向程序分析方法为主,效率较低。为了提高分析效率,文中实现了一种基于有限状态机的内核漏洞攻击自动化分析技术。首先,构建了内核漏洞攻击状态转移图,作为分析的关键基础;其次,引入反向分析的思路,建立了基于有限状态机的内核漏洞攻击过程反向分析模型,能够减小不必要的分析开销;最后,基于模型实现了一种内核漏洞攻击反向分析方法,能够自动、快速地解析内核漏洞攻击流程。通过对10个攻击实例进行测试,结果表明,反向分析方法能够准确得到关键代码执行信息,且相比传统正向分析方法,分析效率有较大提高。

摘要： 漏洞利用脚本在安全研究中有着极为重要的作用,安全研究人员需要研究漏洞利用脚本触发以及利用漏洞的方式,来对漏洞程序进行有效的防护。然而,从网络中获取的大量漏洞利用脚本的通用性和适配性都很差,局限于特定的操作系统及环境,会因运行环境的改变而失效。这个问题在基于ROP的漏洞利用脚本中尤为普遍,使得ROP漏洞利用脚本的移植利用分析变得非常困难,需要依赖于大量的人工辅助与专家经验。针对ROP漏洞利用脚本的移植利用难题,提出了ROPTrans系统,通过ROP漏洞利用脚本的语义识别,定位与运行环境相关的关键语义及其变量,随后自动化适配环境,生成目标环境下的ROP漏洞利用脚本,以实现ROP脚本的自动化移植。实验结果表明,ROPTrans的成功率可以到达80%,验证了该方法的有效性。

摘要： XSS是一种常见的针对Web应用攻击的安全漏洞,造成漏洞的主要原因是服务器端对攻击者输入的恶意语句没有进行过滤或转义,导致恶意语句被执行,造成客户端被攻击的危害.本文介绍了XSS的分类和利用实例,提出了检测方法和防护策略.

摘要： 本文从《软件漏洞分析》课程的建设目标、设计思路、内容设置、实验环境建设和教学模式等多方面对课程建设进行了探索,重点培养学生软件漏洞分析、漏洞利用和漏洞挖掘的能力.

摘要： 安卓手机的各类应用软件为用户提供了社交、办公、购物、理财以及游戏等丰富多样的选择,在方便用户使用的同时也引入诸如用户隐私泄露、敏感数据丢失、个人财产损失等多种安全隐患.在所有已知的针对安卓应用软件攻击的方法中,威胁最大的莫过于远程代码执行攻击.因此,深入分析当前针对安卓手机应用软件的典型远程攻击方法,对提升软件开发人员安全意识、减少受到恶意攻击的概率具有重要意义.在这种研究背景下,重点研究当前几种针对安卓手机应用软件的攻击,实现恶意代码植入的主流方法,并针对每种攻击方法分别从漏洞的形成原因和典型利用两个方面进行阐述.

摘要： 安芯网盾作为国内内存安全的开拓者,创新性的开发了基于硬件虚拟化的内存保护系统,将安全防护能力从应用层、系统层下沉到硬件虚拟化层,以解决防护系统和应用的安全问题.本系统可以有效应对系统设计缺陷、外部入侵等威胁,帮助用户实时防御并终止无文件攻击、Oday攻击和基于内存的攻击等.

摘要： 随着互联网、移动互联网、工业控制系统、物联网的快速发展,软件漏洞也成井喷之势.NVD漏洞库仅在2017年就收录了14714条CVE漏洞信息,数量是2016年的两倍以上.此外,当前的网络攻防日趋激烈,对抗形态趋向动态化,留给安全防护的时间越来越少.根据某公司的统计结果,绝大多数的恶意软件变种更新速度非常快,其生存周期一般不超过2小时.

摘要： 杀毒软件是广大用户一直以来抵御病毒木马等恶意程序的最为有利的手段，也是最为基本的手段。但是，不断出现的软件漏洞使得杀毒软件变成了双刃剑，在抵御恶意程序的同时又被它们所利用。本文简单介绍了漏洞和漏洞利用的概念，着重介绍和分析了瑞星和360杀毒软件存在的漏洞并实现了漏洞利用的方法，进而针对这一情况给出了几点思考与建议。

摘要： 本发明公开一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的方法及系统，包括：从影子服务接收数据后，获取已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置；在发送数据到影子服务前，获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正；根据与影子服务的交互过程，生成与目标服务交互的漏洞利用的脚本。该脚本可用于服务器受到攻击后的取证或是对相同漏洞的进一步攻击的防御。

摘要： 本发明公开了一种漏洞利用定位方法、系统、装置及介质，方法包括：获取待分析的漏洞崩溃点；根据所述漏洞崩溃点，获取可以抵达漏洞崩溃点路径的控制流图；对堆内存中的第一指针进行信息标记；通过使用符号对所述控制流图上的基本块进行探索，确定不动环；分析所述不动环的新路径，确定第一指针中被所述新路径覆盖到的第二指针；根据所述第二指针对内存布局进行分析，构建到达漏洞利用点的路径。本发明通过在内存中动态添加不动环，能够遍历内存中的危险状态，快速查找漏洞可利用点，可广泛应用于计算机技术领域。

摘要： 本发明公开了一种确定漏洞利用样本文件的方法和设备。其中，该方法包括：响应于检测到的漏洞利用行为，查找在漏洞利用行为之前的预定时间内与漏洞利用行为相关的可疑文件；对与可疑文件相关联的行为链进行分析，其中行为链包括与可疑文件相关联的行为的集合；以及基于对行为链进行分析的分析结果，从可疑文件中确定触发漏洞利用行为的漏洞利用样本文件。本发明解决了现有漏洞样本检测不能有效检测存在变形、混淆的漏洞利用代码，更对一些未知的漏洞利用样本存在很大的局限性的技术问题。

摘要： 本发明涉及网络安全领域，为一种针对社交网络中漏洞利用知识库的构建方法，包括：收集社交网络中新出现和近三年的漏洞利用相关文本语料；对原始文本语料进行数据预处理，训练Word2vec词嵌入模型；判别文本语料是否提供漏洞利用代码；提取提供漏洞利用代码的文本语料中的实体信息；汇总实体信息构建漏洞利用知识库。本发明以漏洞利用代码为知识库的核心，为相关从业人员对于漏洞的研究提供一个攻击者的视角，并深入至源代码层面；以社交网络为主要信息来源，结合多种现有网络安全知识库，保证知识库中数据的广覆盖面和高时效性。

摘要： 本发明公开了一种PHP反序列化漏洞利用链检测方法，涉及计算机网络安全领域。本发明公开的方法包括：预定义一系列在检测过程中所需用到的各种规则；从待检测的PHP文件中获取源代码信息；根据各种规则进行反序列化漏洞利用链检测；在检测过程中依据源代码信息将其划分为三种类型；对三种类型源代码执行不同的检测流程；特别地，对三种类型中的一种CMS(Content Management System，内容管理系统)框架会将部分源码存储在本地数据库中以优化反序列化漏洞利用链的检测速率。本发明的反序列化漏洞检测方法，能够提高PHP反序列化漏洞利用链的检测准确率以及减少人工审计的劳动力。

摘要： 本发明提供了一种基于漏洞利用程序特征的漏洞利用程序检测方法，包括：通过Wireshark在网络流量中获取待检测的漏洞利用程序，之后通过IDA获取程序的汇编代码；通过对漏洞利用程序特征进行分析，得到漏洞利用程序的词法、语法和语义特征；对漏洞利用程序的汇编指令进行信息过滤与信息提取，生成对应的控制流图；对控制流图的节点进行信息提取，通过JCFG(Control Flow Graph based Jump，记为JCFG)生成方法，将控制流图转换成对应的JCFG图；通过对漏洞利用程序进行动态分析，对执行指令生成的节点与静态JCFG图节点进行比对，从而来检测程序是否为漏洞利用程序。

摘要： 本发明公开了一种基于漏洞利用程序特征的进行漏洞可视化验证方法，包括有以下方法步骤：S1、通过软件编程软件进行编写poc程序体；S2、设置exp的执行参数，生成exp代码；S3、poc程序体扫描出域名或ip地址的程序体中的安全漏洞；S4、可视化界面触发漏洞验证，生成漏洞验证页面信息；S5、然后在可视化界面触发执行exp，后端程序解析poc代码文件；S6、动态设置exp参数及验证对象，动态执行exp代码并输出利用的结果；本发明通过poc程序体对选定的域名或者ip地址程序体中的漏洞进行有效的检测，且通过exp对漏洞进行运行操作，并且在可视化界面进行漏洞利用操作，动态的设置漏洞利用的参数，动态返回漏洞利用结果。

摘要： 本发明公开一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的方法及系统，包括：从影子服务接收数据后，获取已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置；在发送数据到影子服务前，获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正；根据与影子服务的交互过程，生成与目标服务交互的漏洞利用的脚本。该脚本可用于服务器受到攻击后的取证或是对相同漏洞的进一步攻击的防御。

摘要： 本发明公开了一种漏洞利用关系确定方法、装置、设备及存储介质，本发明通过建立漏洞知识图谱，获取网络拓扑的第一网络拓扑信息并根据漏洞知识图谱对第一网络拓扑信息进行补充处理，得到第二网络拓扑信息；网络拓扑的网络节点划分多个节点，节点至少包括部件、设备以及区域，每一节点对应表征一粒度，第二网络拓扑信息包括每一节点的可利用漏洞、利用条件以及攻击向量；根据网络拓扑以及第二网络拓扑信息，构建多粒度攻击图，而多粒度攻击图包括节点的漏洞利用关系，结合漏洞知识图谱以及网络拓扑的信息实现包括部件、设备以及区域的多粒度对象可利用漏洞的漏洞利用关系，提高了分析速度、准确性以及全面性，本发明可广泛应用于互联网领域。

摘要： 本发明公开了一种漏洞利用概率预测方法、系统、设备及存储介质，一方面，仅使用已利用漏洞样本，避免了直接进行二分类面临的不会被利用漏洞类别数据的选择问题；另一方面，对已利用漏洞样本训练聚类模型并进行聚类，不仅使聚类模型学习到了所有已利用漏洞样本，解决了二分类模型对已利用漏洞样本学习不完整的问题，而且解决了将所有已利用漏洞样本视为一个整体时，相似度距离门槛值包含范围过大，几乎将所有漏洞都预测为有可能被利用的问题，并将待预测漏洞聚类到最近的聚类簇，利用它与所属聚类簇的中心向量的相似度距离预测其利用概率，大大提高了预测效果。