专项服务
首席律师

联系人:邱律师

手机:159-1534-4883

电话:0755-26751234

网址:www.itscourt.com

网站名称:邱戈龙商业秘密律师

侵犯著作权关于网络安全漏洞检测【侵犯著作权罪律师】
时间:2022-11-18 18:27 作者:邱戈龙
来源:长昊商业秘密律师(侵犯著作权/侵犯著作权罪/著作权保护/软件著作权罪诉讼律师)
 
【摘要】本文探讨了网络安全漏洞的检测及防护方法,旨在提高软件系统健壮性,应对日益严峻的网络信息安全形势。
 
【关键词】网络安全、黑客攻击、漏洞检测与防护
 
随着互联网应用的迅猛发展,网络上各种软件系统成为黑客攻击的主要目标,大量网络安全事件的发生,给企业和用户造成了巨大损失。本文重点对服务器系统的网络安全漏洞检测及防护技术方案进行了探讨。
 
一、常见漏洞种类
 
(1)操作系统漏洞
 
操作系统漏洞是指计算机操作系统本身存在的问题或技术缺陷,可能导致其他用户在未被授权的情况下非法访问或攻击计算机系统。例如,利用WindowsServer服务RPC请求漏洞(MS08-067),可以入侵服务器系统,以SYSTEM权限执行任意指令。
 
(2)数据库漏洞
 
据CVE(通用漏洞与披露网站)的数据安全漏洞统计,Oracle、SQLServer、MySQL等主流数据库的漏洞呈现逐年上升趋势。数据库安全漏洞从来源上大致分为四类:缺省安装漏洞、人为使用上的漏洞、数据库设计缺陷、数据库产品的BUG。例如,利用SQLSERVER的系统存储过程XP_CMDSHELL可执行系统命令,利用MySQL的UDF(用户定义函数)提权可执行系统命令。
 
(3)网站中间件及网站程序漏洞———OWASPTOP10
 
OWASP开放网站应用程序安全项目组织,主要研究网站应用的安全标准、工具与技术文件,其公布的最新网站应用十大漏洞为:SQL注入、失效的身份验证和会话管理、跨站脚本、不安全对象的直接引用、安全配置错误、敏感信息泄露、功能级访问控制缺失、跨站请求伪造、使用含有已知漏洞的组件、未验证的重定向和转发等。
 
(4)广泛存在的漏洞———缓冲区溢出
 
缓冲区溢出是指计算机对接收的输入数据没有进行有效的检测(理想情况是程序检查数据长度,并且不允许输入超过缓冲区长度的字符),向缓冲区内填充数据时超过了缓冲区本身的容量,而导致数据溢出到被分配空间之外的内存空间,使得溢出数据覆盖了其他内存空间的数据。缓冲区溢出是一种非常普遍的危险漏洞,在各种操作系统、数据库、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至取得系统特权,进行各种非法操作。
 
二、网络安全漏洞检测方法
 
网络安全漏洞的检测方法有多种,渗透测试是目前最为有效的方法。
 
1.渗透测试的定义
 
渗透测试是通过模拟恶意黑客的攻击方法来主动评估网络系统安全性,是一个渐进深入的过程,可以选择不影响业务系统正常运行的各种攻击方法对某个特定网络进行测试,以期发现、挖掘系统中存在的弱点、技术缺陷或漏洞。
 
2.渗透测试流程
 
(1)信息收集
 
信息收集是指通过各种方式获取目标系统的漏洞信息,直接关系到整个渗透测试工作的质量。信息收集方法包括:网络信息收集、端口扫描、应用扫描、系统扫描等。
 
(2)漏洞利用
 
综合利用信息收集步骤中获得的漏洞信息,制定模拟攻击方案并实施。可以利用一般漏洞,获得目标系统的一般权限;利用系统高级漏洞,提升权限等级,进而获得超级权限。
 
(3)渗透测试报告
 
总结渗透结果并输出渗透测试报告,提出安全解决建议。
 
(4)渗透测试工具
 
渗透测试工作可以依靠人工、思维和经验,也可以利用一些安全工具实现渗透测试过程的自动化执行,提高工作效率。但需要注意的是,安全工具都可能存在一定的误报率,不能发现高层次、复杂的安全问题,所以要二者相互结合。
 
三、网络安全漏洞检测及防护案例
 
1.某企业的中高危漏洞情况
 
针对某企业的内部服务器应用系统,借助专业渗透测试工具进行扫描,同时结合人工分析及经验,发现存在21种漏洞(表1)。这些漏洞主要存在于操作系统和数据库等方面,可能导致远程信息泄露、远程拒绝服务、远程执行命令、本地权限提升等问题。
 
2.漏洞防护解决方案
 
下面以操作系统、数据库和网站程序等漏洞为例,探讨具体的漏洞解决方案。
 
操作系统的漏洞防护
 
(1)Windows漏洞
 
Microsoft远程桌面协议RDP远程代码可执行漏洞(MS12-020)。
 
(1)方法1:安装针对此漏洞的系统补丁,更新到最新版本以避免受漏洞影响。http://technet.microsoft.com/en-us/security/bulletin/ms12-020(2)方法2:更改远程桌面的默认端口3389,并配置防火墙过滤非法用户向远程桌面端口的请求。(2)Linux漏洞OpenSSHS/Key远程信息泄露漏洞(CVE-2007-2243)。(1)方法1:因OpenSSH版本太低,升级至最新版本OpensSSH6.7。(a)备份好之前SSH的相关配置文件。(b)servicesshdstop关闭ssh服务。(c)tarzxvfopenssh.tar.gz。(d)cdopenssh./configure--prefix=/usr--sysconfdir=/etc/ssh--without-zlib-version-check,指定安装目录,同时不检查zlib版本。注意,一定要确保上述配置过程没有错误提示,才能进行后续的编译操作。(e)make//编译。(f)makeinstall//安装。(g)使用命令ssh╞V验证升级是否成功。(h)vi/etc/ssh/sshd_config,指定Protocol2,指定PermitRootLoginno。(2)方法2:更改OpenSSH的默认端口22,并配置防火墙过滤非法户向OpenSSH端口的请求。
 
4.数据库漏洞防护
 
(1)SQLServer漏洞MicrosoftSQLServer信息泄露及缓冲区溢出漏洞(MS08-040)。
(1)方法1:安装针对此漏洞的系统补丁,更新到最新版本以避免受漏洞影响http://www.microsoft.com/technet/security/bulletin/ms08-040.mspx?pf=true(2)方法2:启用对SQL2005ServicePack2的符合通用条件,以管理员身份连接到SQLServer时执行下列脚本。在运行脚本后,重新启动SQLServer。
 
sp_configure'showadvancedoptions',1;GORECONFIGURE;GOsp_configure'commoncriteriacomplianceenabled',1;GORECONFIGUREGO(3)方法3:更改SQLServer的默认端口1433,并配置防火墙过滤非法用户向SQLServer端口的请求。(2)MySQL漏洞MySQLServer远程信息泄露漏洞(CVE-2012-0484)。此MySQL数据库系开发时是作为临时测试库使用,属于非必要开放服务,因此将此数据库关停并从系统中卸载相关软件。
 
5.网站程序漏洞防护
 
网站程序漏洞,需要由网站开发人员进行代码修改,杜绝相关缺陷问题。(1)SQL注入漏洞:可以使用参数化语句、使用白名单或黑名单进行输入验证、使用存储过程进行数据库访问。(2)跨站脚本漏洞:可以使用输入过滤、输出编码的方法进行防护。(3)文件上传漏洞:可以使用严格限制用户上传的文件后缀和文件类型、检测文件内容等方法进行防护。
 
6.其他防护方法
 
为提高系统安全性,除了对渗透测试发现漏洞进行针对性防护外,还可以对操作系统、数据库系统、网站中间件等实施安全基线核查、配置,关闭或删除不必要的服务和组件,使用软件和硬件防火墙关闭不必要的服务端口。
 
广东长昊律师事务所案例遍布大江南北,曾代理/辩护:深圳市YD精密机械有限公司和深圳市YD实业有限公司商业秘密被侵犯刑事制裁、民事追偿维权案;深圳市公安局南山区分局指控深圳KL科技有限公司李姓高管侵犯商业秘密罪缓刑案;东莞市ZJ电子有限公司侵害商业秘密赔偿减半案;深圳市公安局南山分局指控深圳市HEX智能技术有限公司张姓高管侵犯商业秘密罪缓刑案;TCL集团股份有限公司前高管侵犯商业秘密罪立案成功;深圳市公安局南山分局指控深圳市FG网络科技有限公司高管侵犯商业秘密罪全案无罪不起诉案;深圳市公安局龙岗区分局指控深圳市CYL电子科技有限公司负责人龙姓侵犯著作权罪无罪不起诉案;深圳市XH系统技术有限公司著作权被侵犯刑事维权案;深圳MR生物医疗电子股份有限公司被侵犯商业秘密罪刑事立案成功;东莞市第三区人民检察院指控东莞市XL实业有限公司技术总裁赖姓侵犯商业秘密罪一审无罪、检察院抗诉二审裁定发回重审,发回重审一审、二审均无罪案;厦门首例厦门QY有限公司商业秘密被侵犯刑事立案成功;哈尔滨市公安局指控GL工业自动化(上海)有限公司三位高管侵犯商业秘密罪无罪不起诉案;苏州市公安局工业园区分局指控浙江YB科技有限公司11位技术工程师侵犯著作权罪全无罪案;2018年全国五十大知识产权案例之一:深圳市公安局指控前华为总裁陈姓侵犯商业秘密罪缓刑案;上海AW科技股份有限公司商业秘密被侵犯刑事立案成功;湖北襄阳市首例襄阳市公安局指控江苏XL机电科技有限公司股东谢姓、周姓侵犯商业秘密罪缓刑案;深圳市HY通信技术有限公司诉郑姓员工违反竞业限制协议劳动仲裁驳回案;深圳市公安局龙岗区分局指控深圳市TD机械有限公司的法定代表人韦姓侵犯著作权罪刑事二审减刑改判、民事赔偿减少案;深圳市公安局指控深圳GX动力科技有限公司5位高管侵犯商业秘密罪四人无罪一人缓刑案;深圳市公安局指控深圳ZWX科技发展有限公司5位高管侵犯商业秘密罪全无罪不起诉案;深圳市YY五金制品有限公司客户名单商业秘密被侵害维权案;苏州市工业园区人民检察院指控冯姓侵犯著作权罪有罪免于刑事处罚案;上海市公安局嘉定分局指控肖姓侵犯商业秘密罪无罪不诉案;杭州NT生物科技有限公司侵害商业秘密驳回案;深圳WFT科技有限公司自诉指控林姓、尹姓侵犯商业秘密罪无罪驳回起诉案;山东枣庄HH光电集团有限公司商业秘密被侵犯刑事受理案;江苏常州市公安局直属分局指控姜姓、薛姓侵犯商业秘密罪刑事无罪不起诉,民事驳回起诉案;武汉市公安局武汉东湖新技术开发区分局指控前华为软件工程师非法获取计算机信息系统数据罪无罪不起诉案
 
长昊律师事务所
THE ONE PERFECT
商业秘密    |   软件著作权
SINCE 1995
www.itscourt.com 13808805110  15800707700
 
创立于1995年的长昊律师事务所,扎根深圳辐射全国,在商业秘密和软件著作权两大核心方向,是专业致力于知识产权方面的律师事务所。长昊律师事务所坚持创新、开放合作、与时俱进,为众多科学技术领域的商业秘密、软件著作权类案件提供侵权维权、辩护、司法鉴定、司法审计、调查取证等高品质专项法律服务。
长昊律师事务所拥有近三十年专注商业秘密和软件著作权类案件经验的核心团队,自律师事务所成立以来,获得多项行业殊荣,2018年代表中华律师协会由法律出版社出版著作《特殊型知识产权法律实务—专论商业秘密与软件著作权》,长昊律师事务所及长昊律师在商业秘密和软件著作权领域取得的成绩成为办理知识产权领域的优秀律师事务所之一。
面向未来,长昊律师事务所将继往开来,砥砺前行,持续在尖端知识产权方面不断超越,努力奋进的执业要求,长昊律师将共同努力把长昊所打造成为知识产权品牌专业所。