糟糕的設計邏輯:模糊測試器也不是發現糟糕的邏輯設計的最佳工具。例如,考慮在Veritas Backup Exec中發現的一個安全漏洞。該安全漏洞允許攻擊者遠程控制Windows服務器并能創建、修改、刪除注冊表中的鍵值。這個漏洞導致攻擊者幾乎可以完全控制系統。這個問題產生的原因是 Windows 服務器中一個基于 TCP 實現遠程過程調用的接口,該接口接受修改注冊表的指令,并且完全不需要認證。實際上,這不是一個認證問題。因為 Windows 服務器就是這樣設計的。這只能說是一個不合適的設計決定,該決定可能因為設計者認為攻擊者更愿意花費時間來破譯Microsoft接口描述語言,并據此設計一個工具來與服務器交互,而不是花時間去尋找RPC服務的漏洞。
模糊測試器難以發現的典型安全性漏洞有:
訪問控制漏洞:有些應用需要分級的權限模型來支持多賬戶或是不同級別的用戶。例如,考慮一個通過Web前端訪問的在線日程安排系統。該應用有一個管理員,管理員可以控制哪些用戶能夠登錄到這個系統。除管理員外,該系統中還有一個特別的用戶組,這組用戶具有創建日程的權限。除此之外,其他用戶只有讀權限。在這個系統中,最基本的權限控制是保證一個普通用戶無法執行管理員才能執行的任務。
糟糕的設計邏輯:模糊測試器也不是發現糟糕的邏輯設計的最佳工具。例如,考慮在Veritas Backup Exec中發現的一個安全漏洞。該安全漏洞允許攻擊者遠程控制Windows服務器并能創建、修改、刪除注冊表中的鍵值。這個漏洞導致攻擊者幾乎可以完全控制系統。這個問題產生的原因是 Windows 服務器中一個基于 TCP 實現遠程過程調用的接口,該接口接受修改注冊表的指令,并且完全不需要認證。實際上,這不是一個認證問題。因為 Windows 服務器就是這樣設計的。這只能說是一個不合適的設計決定,該決定可能因為設計者認為攻擊者更愿意花費時間來破譯Microsoft接口描述語言,并據此設計一個工具來與服務器交互,而不是花時間去尋找RPC服務的漏洞。
后門:如果一個模糊測試器對被測應用的結構只有很少的了解,后門看上去與其他的正常邏輯沒什么不同。考慮一個應用的登錄界面,無論是后門還是正常登錄邏輯,都是接受輸入并返回認證后的身份信息。不僅如此,除非模糊測試器有足夠的信息識別成功的登錄,否則,即使這個模糊測試器偶然發現了一個固定的口令,它仍然沒有辦法識別出這個安全漏洞。在對口令域進行模糊測試時,如果某個輸入導致應用發生崩潰,這種漏洞通常可以被發現;但一個通過隨機猜測可以被發現的,能進入系統的硬編碼的口令就不會被發現。
破壞:內存破壞問題通常會導致被測應用的崩潰。這類問題可以根據與拒絕服務類似的癥狀來加以識別和發現。然而,有些內存錯誤問題會被被測應用掩蓋,因此簡單的模糊測試器永遠都發現不了這類問題。
多階段安全漏洞:可利用性不總意味著像攻擊單一弱點那么簡單。復雜的攻擊通常通過連續利用若干個安全漏洞來獲得機器的控制權:起先通過漏洞讓機器接受未被授權的訪問,然后利用其他漏洞缺陷獲得更大的權限。模糊測試對識別單獨的漏洞很有用,但通常而言,模糊測試對那些小的漏洞鏈構成的漏洞,或是讓人不感興趣的事件構成的多向量攻擊的識別作用不大。
回答所涉及的環境:聯想天逸510S、Windows 10。