Recently in Security 分类

前几天从 Sourceforge 上的一篇文章了解到 Complemento 这个工具包,其中的 LetDown 用来做网站网络的压力测试,预防 DoS (拒绝服务)攻击还是不错的,起码可以熟悉一些常见的场景。另外,这个工具可以比较方便的嵌入到 Python 脚本中,用来做更大规模的压力测试(注意随意测试是有风险的)。

Complemento 的 HowTo 文档比较完备,可以用作参考。这个工具包现在也已经内置到 BackTrack 这个用作安全渗透的 Linux 发行版中了。

最近一两年,DDoS 攻击在国内现在更加"流行"而且商业目的明显,经常用做打击竞争对手的武器。当然现在也不只是打Web服务器,也可能会打打 DNS 什么的...

其实我非常好奇各个公司的技术人如何应对 DDoS 的,除了拼硬件,拼带宽,或许饭桌和钱是最好的防御手段。

--EOF--

BTW,Nessus 仍然是扫描系统漏洞的最佳工具,居家旅行...必备...

关于支付宝证书错误 800A138F

| 9 Comments

关于支付宝的证书使用中出现的 800A138F 错误是个老问题了。这里尝试对这个问题做说说个人看法。

历史原因说来话长,我尽量说得简要一些。首先需要涉及证书(Certificate )在操作系统中通过 ActiveX 形式的登记(Enrollment )这事儿。在 Windows XP 之前,延续使用的是 XEnroll.dll 这个库接口。但是因为这东西比较古老,且出于"更安全"、更方便开发的角度上考虑,从 Windows Vista 与 Windows Server 2008 开始引入 CertEnroll.dll (参考)。这个差异也导致了支付宝证书在不同版本的操作系统间的导出再导入可能会出现问题。

一般来说,错误信息类似如下:

错误原因:'cenroll' 为空或不是对象,错误代码:800A138F
Microsoft XEnroll,在产生密钥对时失败!错误原因:'null'为空或不是对象,错误编码:800A138F

(这个错误信息表明是使用 XEnroll.dll 过程中出现了问题。)

不知出于什么考虑,微软上 Vista 的时候居然没考虑到 XEnroll.dll 这东西没了,向后兼容性如何处理呢? 而有些第三方开发厂商也不是未卜先知。所以,Vista 大量涌入市场的时候就暴露出来了问题(当然第三方开发商也要狠狠的打自己自己一个嘴巴)。微软的拿手解决方案就是发行一个补丁 ,在 Vista 和 Windows Server 2008 上也能使用老的 "Certificate Services Web enrollment pages" (其实就是给 操作系统里安装一个 XEnroll.dll 库)。参见知识库 922706

这个 800A138F 错误大多数时候出现在 Vista 系统上。也是有很多其他客观因素的,其中比较主要的一个是 User Account Control(UAC)这个特性带来的麻烦。UAC 默认级别替用户"多考虑许多",安全级别控制的很好,好到这个安全成了麻烦。这个如果通过系统管理员用户一项一项的去设置的话,是可以对付安装上的,但是不可避免的是,很多用户不是操作系统专家,甚至不知道什么是"系统管理员",所以如果把 UAC 关闭的话,可能会直接省了不少麻烦,但是这样的话,又有很多用户会觉得安全性受到了威胁,也难免抓狂,这个选择很是两难。

除了 Vista ,在 XP 上也会遇到这个错误。一般来说,某些第三方的小工具会禁止 Microsoft Certificate Enrollment CAB (这也是非常头疼的一个问题),这种情况下可以考虑修改注册表或者是在这类工具的插件管理的地方把这个 CAB 放开。或者考虑修改注册表的方式 (参考)。

我的个人建议是:不要使用 Windows Vista !(请默念10遍:Windows Vista 是个烂系统) 这是个微软内部都承认失败的操作系统。使用老的 Windows XP 吧,毕竟,微软已经承诺对 XP 延续支持到 2011 年了。至于 Windows 7 ,尽管叫好声不断,但我们现在只能期待。

另外,对于 IE 用户,建议使用 IE7 或者 IE8 (IE6 出来已经有 10 年,老掉牙矣,且从安全性的角度上考虑也的确不佳)。

以上是对支付宝证书错误 800A138F 的一点非专业解释,兄弟我并非 Windows 操作系统专家,期待对 Windows 操作系统更为熟悉的朋友进行补充以及纠正。现在情况已经如此,一刀切解决问题似乎不太现实,没有理由推卸任何责任(尽管个别读者可能这么认为),只能尽量、尽快改进--现在已经在和合作方一起进行对此错误的处理!

用户的痛苦我也是感同身受!这并非客套话。

--EOF--

注意:这篇文章有实效性,且包括作者本人主观看法。

更新:从用户的反馈来看,Windows 7 比 Vista 易用性和性能好了很多,推荐使用。

跨站脚本攻击(XSS, Cross Site Scripting) 可能是目前所有网站都比较头疼的问题,Google 也不例外。这次 Google 又做了一次雷锋,把内部用来审计 XSS 的工具开源了:ratproxy

Google_ratProxy.png

Ratproxy 工作流程:

  • 1) 运行脚本后,会在本地启动一个代理服务器,默认端口是 8080 ;
  • 2) 浏览器设置这个地址 (http://localhost:8080)为 代理地址 ;
  • 3) 浏览要测试的 Web 页面,进行实际登录,填写表单等操作(这些动作会被代理服务器捕捉并做点"手脚"发给待检测的页面),ratproxy 会在后台记录相关的 Log ;
  • 4) 用 ratproxy 提供的工具解析 Log 并输出 HTML 进行分析;
  • 5) 修正比较严重的问题后,跳回到第一步,直到评估通过为止。

在我的 Ubuntu 下测试了一下,需要说一下的是,本地系统需要安装 libssl-dev 与 openssl 。

$ sudo apt-get install libssl-dev openssl 
$ cd ratproxy ; make

然后就可以提交类似:

$ ./ratproxy -v . -w foo.log -d foo.com -lfscm 

然后,人肉点击相关的页面进行测试了。这个工具的设计思路还是很值得借鉴的,推荐对安全感兴趣的同学读一下源代码。

ratproxy 的作者是 MIchal Zalewski,一个波兰的白帽子黑客。他的个人主页上能找到更多有趣的工具。

--EOF--

另参见另一份试用报告

Updated:Google的另一个工具:Skipfish 尤其值得关注。

密码提示问题的设计

| 9 Comments

在公司洗手间看到一个关于“密码提示问题”的笑话。不过仔细一琢磨发现不是这回事儿。电子商务网站几乎都设置密码提示问题的。一个有趣的现象是有些 UE(或交互设计师?反正是干这个活儿的人) 工程师自己都没搞清楚这个 "密码提示问题“ 要给用户什么。

对于 UE 我是门外汉,不过我理解的这个过程就是建立公钥和私钥:公开的密钥即“密码提示问题”,是其他用户也可以看到的),只有自己知道的叫私钥,也就是答案。很明显,既然说到私钥,那么私钥的保护就是关键。设计者有必要引导用户保护好自己的私钥。

我们先看个例子(类似的网站很多,就别说具体哪家了,都那鸟样):

Protect_Questions.png

告诉我,用户需要填入"正确"的还是"错误"的答案?

就这个密码提示问题来说,如果没有直接明白的告诉用户正确的使用方式(你的用意!),那么很多用户还是输入“真实”的答案。除了第一个和第四个问题之外,其他几个问题我想在SNS 网络如此盛行、搜索引擎如此强大的今天,要得到答案是不存在什么障碍的。用户并不傻,但用户也不是都会耍小聪明,如果你去做个统计,我相信会有大量的用户输入的答案是可以猜到的。

或许有人会说,"没事啊,即使别人猜到了这个答案,密码最后也会发到原用户自己的信箱里的啊"。拜托,安全本来就是一环套一环的,这个如果被搞定了,你能确保用户的信箱不会被搞定么?

到各个站点查看帮助说明,发现原易趣的说明还是比较到位的(是否在用户设定问题的时候提示,我就不知道了):

选择一个容易回答但其他人难以猜到答案的问题。
密码提示问题与任何其他机密信息一样重要,所以不要向其他人透露。
为安全起见,可以为问题提供并不正确或答非所问的回答。

前几天白鸦有篇文章《跟着用户走到沟里》,其实很多时候网站是设计者把用户带到沟里。

--EOF--

验证字(CAPTCHA) 的安全问题

| 3 Comments

验证字/验证码(CAPTCHA) 最早作为 Carnegie Mellon 大学的一个科研项目,Yahoo! 是CAPTCHA 的第一个用户。 CAPTCHA 这个缩写来自 "Completely Automated Public Turing test to Tell Computers and Humans Apart" ,其目的就是通过用来区分机器与人,其安全性与 SPAM 数量息息相关,一直以来,是此消彼长。

验证字是每一个网站不可回避的一个东西。前几天 Slashdot 上一则题为: Yahoo CAPTCHA Hacked 的消息引起了不少人的震惊。乖乖,精确度能达到 35%!要知道,一直研究 CAPTCHA 有效性的 PWNtcha 项目的评测中,Yahoo! 的验证字几乎是最安全的那种, "A very good captcha, but not always human-solvable",之前也有 专门针对 Yahoo ! 所用验证字进行破解研究项目,比如 Gimpy

肯定没有 100% 安全的验证字--除非你根本不想让人看明白,在用户可识别性与机器识别之间的平衡是最大的问题,”挑战--响应",两个环节之间的问题其实也挺微妙。在注册微软的一些服务的时候,验证字很难让人看明白,要多刷新几次才能有个好认的;而一些电子商务的网站,比如 Paypal ,验证字被 PWNtcha 破解的概率是 88% ,这么做应该也是有苦衷的,毕竟要考虑用户体验。

中文网站所使用的验证字机制,个人觉得还没有引起足够的重视。唯一值得一提的是腾讯的 "中文" 验证字算是一个创新(估计是申请专利了),估计能够抵挡住国外 SPAM 的攻击(谁让老外不认识中文呢). 而从我个人的体验上来看,通过机器人发送 SPAM 的大部分来自国外,国内目前处于"手工“ Spam 方式比较多,当然,更为精准。这就是技术的”马奇诺防线“啊!

参考:

--EOF--

文件完整性校验是安全审计必不可少的一个流程。在不同操作系统的数据库服务器上部署 Tripwire 这样的工具是个麻烦事情(前提是使用非商业软件)。在 Linux 服务器上,我以前测试过 integrit ,参见 integrit - Tripwire 的替代品 。如果操作系统是 AIX , 那么 Samhain 可以作为一个替代方案。

在 AIX 5.3 上编译安装后,提示信息值得看看:

 samhain has been configured as follows:
System binaries: /usr/local/sbin
Configuration file: /etc/samhainrc
Manual pages: /usr/local/man
Data: /var/lib/samhain
PID file: /var/run/samhain.pid
Log file: /var/log/samhain_log
Base key: 812826721,276349012

You can use 'samhain-install.sh uninstall' for uninstalling
i.e. you might consider saving that script for future use

Use 'make install-boot' if you want samhain to start on system boot

make install-boot 可以作为启动 daemon 安装.

/etc/samhainrc 是配置文件,可以参考 Samhain 文档 进行配置。之后即可 运行 /usr/local/sbin/samhain -t init -p info 进行数据库初始化。-p 这个参数后面可以跟 warning, cri(critical) 等参数,打印不同级别的信息。Samhain 这个工具唯一让我感觉不好的地方就是文档说明比较晦涩。配置选项什么都还可以,命令行解释连个例子也不给,还需要摸索半天。

命令行说明: samhain -t check #检查数据库 samhain -t update #更新数据库 -p info 可以看到相关信息

注意配置 /etc/samhainrc 的时候,默认可能是设定了程序作为 Daemon 启动,最好修改一下,否则运行几次,后台一堆 samhain daemon 在跑。

初始化--> 更新 --> 检查--> 列出变更信息

这应该是类似工具的统一使用思路。只是实现细节上略有差异。

现在在这一堆类似的软件中,号称支持 AIX 的就有 Tripwire 开源版本AIDE 等,但是安装编译几乎很难顺利的通过,网上也很少能够找到相关支持信息。对于这几个软件之间的差异,可以参考 Samhain 上的比较表格(注意有的信息可能比较旧了)

--EOF--

我写过一篇 免费杀毒软件与防火墙。现在又多了一个 AOL 发布的 Active Virus Shield

这个工具其实就是简化版的卡巴斯基。卡巴斯基官方媒体介绍说:

Active Virus Shield 是卡巴斯基实验室互联网安全套装 6.0 个人版的 OEM 版本 , 由卡巴斯基实验室开发,由 AOL 免费发放给个人用户。它包含了反病毒功能以及反病毒数据库的升级

旧闻,绝对的旧新闻。只不过最近有一篇什么 全球最佳反病毒软件排行榜在被到处转贴, Active Virus Shield 被排在第二位,第一位就是卡巴斯基。

试用过两天之后觉得不习惯杀毒工具的存在,删掉了。界面和卡巴斯基基本一致。(现在 Windows 安全最大的问题是抵制流氓软件、间谍软件与木马程序。)

另外 Avira AntiVir PersonalEdition Classic 也是可以放心使用的。 微软的 Windows Defender 加上一个免费杀毒工具,家庭用户足矣。

推荐一个精选的免费软件站点:Concise Freeware

--EOF--

今天重感冒,写不了新的了,把以前的修改稿贴上来。每个人都有一个爱因斯坦那样的小板凳。旧稿参见第一版

以出品 Nmap 而为业界知名的 Insecure.Org 网站日前发布了 《100 个最佳网络安全工具》(Top 100 Network Security Tools) 2006 版。在 2000 年与 2003 年,该站点曾经做过两次类似的活动,都在业界产生了深远的影响。

Tip: 新的产品列表增加了 5 种图标指示(包括是否支持 Max OS X),看起来更加一目了然。

第一名自然是 Nessus ,连续三次稳座第一名的交椅,这是了不起的成绩。虽然现在 Nessus3 已经不再开源,但是仍有免费版本可用,加上不可替代的强大扫描功能,仍然是许多安全人员心中的最佳。
第二到第四名分别是:Wireshark、SnortNetCat。对 Wireshark 或许有的朋友会稍感陌生,其实就是网络协议分析工具Ethereal。这里面有点小插曲,Ethereal 的主要开发者 Gerald Combs 跳槽到CACE 技术公司,但是他并没有这个产品的商标,于是乎一个新的名字 Wireshark 产生了。很多用户可能会觉得有点奇怪:怎么 Ethereal 原站点上看不出端倪? 个人觉得这样的更名多少有一点品牌损失。
相对 2003 年的评选结果,这次前四名的位置都没有变化,足以说明优秀的开源产品是能够经得起考验的。
接下来我们看到漏洞利用和测试平台 Metasploit Framework 在过去这几年中异军突起,一跃而至第五名。
最近微软收购的 Winternals Software公司的产品 Sysinternals ,排在 24 位。Sysinternals 系列工具在 Windows 平台上几乎是无可替代的,这是一个一直被开源阵营忽视的产品。
一路看下来,很多老牌的安全工具名列其中。等等,在第 34 位我们发现了谁?万能的 Google!Google强大搜索能力是一柄双刃剑:安全人员用来查找安全信息,心怀叵测者则用来发现可以利用的网络漏洞。把 Google 当作一款工具工具决不为过。或许,下一次排名的时候Google的位置还应该靠前。

完整性检查检查工具 Tripwire 比上次下降了 22 位,排名 37 。也难怪,Tripwire 昂贵的商业版让普通用户可望不可及,而开源替代工具( AIDE,integrit 等)又的确不够优秀,相信很多公司的主机完整性检查也都是安全环节中最弱的一环。可以看到的希望是发展缓慢的 Tripwire 开源版本最近终于开始支持 Linux 之外的平台,能否有更好表现,还要拭目以待。

匿名浏览工具 Tor 榜上有名,排名 59 。因为一些国家或地区的网络审查逐渐严格,这一类工具市场很大。列表里还提到一个跨平台的 Tor 实现:Vidalia。不过在这里笔者要向大家推荐 TorPark (http://torpark.nfshost.com/)。无需任何特殊的配置即可进行匿名网络冲浪了。

安全相关的操作系统工具值得注意的是 Knoppix 最新上榜,排名60。排在了第65名 OpenBSD 的前面,不过排名更好的是 BackTrack,BackTrack 则偏重于安全。

网络监控工具 Nagios 第一次上榜。第 67 位。这个工具目前在国内的一些网站应用也比较广泛,能够有效的监控大量主机服务状态,相信下一次应该还可以靠前一些。虚拟软件 VMware 也在榜上,89。利用 VWware 快速的搭建测试环境,对于安全研究人员便利了许多。

第 100 名是 MBSA (Microsoft Baseline Security Analyzer),终于有了一件微软土生土长的产品,不容易啊。个人觉得微软的 Windows Defender 对于国内饱受流氓软件骚扰的用户来说更为重要。

整个兵器谱看下来,最多的一类是嗅探工具(Packet Sniffers),共有 11 款。 网络脆弱点扫描工具与密码破解工具次之,各有 10款。此外这两年随着无线网络的普及,关于无线网络安全的工具也有增多的趋势。

这个结果是 3243 位 Nmap 用户投票选出的,权威性应该不容置疑。如果有疑问,那就是: Nmap 应该排在什么位置?


相关网址:http://www.sectools.org/ 。查看完整的列表与相关信息。

--EOF--

关于这篇归档

This page is an archive of recent entries in the Security category.

Review is the previous category.

SiteLog is the next category.

Find recent content on the main index or look in the archives to find all content.