如題,經常說發現漏洞,到底是後門被發現了才說成是漏洞,還是真的就是漏洞而已。

漏洞一般是用於提權(獲得管理員許可權),比較有價值的是0-day漏洞,利用這種漏洞可以暫時性地獲得很高的許可權;但是這樣的漏洞一經曝出,安全人員會很快地打補丁,這樣漏洞就消失了;所以一般會在漏洞可用期間,安裝後門,後門程序可以讓攻擊者長久地維持對被攻擊機器的高許可權;同時,為了防止後門程序被受害者發現,一般會在漏洞可用期間同時安裝上rootkit。這樣,即使漏洞被補上了,通過後門,攻擊者也可以隨時返回。

可以參考鏈接進一步理解:

ustcsse308:信息安全課程13:rootkit(1)?

zhuanlan.zhihu.com圖標ustcsse308:信息安全課程14:rootkit(2)?

zhuanlan.zhihu.com圖標

真的就是漏洞啊。

不過也會有一些別有用心的,舉幾個栗子:

一,特殊軟體的內置後門特徵,究竟是無心插柳還是別有用心各位看官自己琢磨啦!

Cobalt Strike是一款滲透測試神器,常被業界人稱為CS神器。Cobalt Strike已經不再使用MSF而是作為單獨的平台使用,它分為客戶端與服務端,服務端是一個,客戶端可以有多個 (beacon),可被團隊進行分散式協團操作。

Cobalt Strike的 「Team Server」 Web伺服器是基於NanoHTTPD,這是一個用Java編寫的開源Web伺服器。但是,此Web伺服器無意中在其所有HTTP響應中返回了多餘的空白符。

因此導致,老版本的Cobalt Strike網路伺服器的所有HTTP響應中都有空格:

可以看出該特徵已經存在了7年之久

基於此,邊可以通過構造規則,針對全球的具有這類特徵的HTTP響應進行伺服器抓取。

二、家用路由固件中發現人為後門,究竟是黑客植入還是別有用心各位看官自己琢磨啦!

嵌入式設備安全研究員逆向工程出友 訊科技(D-Link)路由器固件中的後門。D-Link的固件由其美國子公司Alpha Networks開發。安全研究人員發現,不需要任何驗證,只需要瀏覽器用戶代理字元串(User Agent String)是「xmlset_roodkcableoj28840ybtide」(不含引號)就能訪問路由器的Web界面,瀏覽和改變設備設置。受影 響的友訊科技路由器型號包括 DIR-100DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+和TM-G5240等。網友發 現,roodkcableoj28840ybtide字元從後往前讀是「Edit by 04882 Joel Backdoor」,其中Joel可能是Alpha Networks的資深技術總監Joel Liu。

參考:

  • 通過存在7年之久的「空格」特徵識別在野Cobalt Strike伺服器組
  • https://www.oschina.net/news/45029/reverse-engineering-a-d-link-backdoor

一般漏洞是外部條件觸發,邏輯不是判斷出來的,後門是

看動機。

漏洞和後門都是程序出現了安全問題,存在可被非法利用的隱患。

無意造成,就是漏洞。

刻意為之,就是後門。

只是,故意和過失的界限非常模糊,難以確定。

漏洞是自身的缺陷 後門是被入侵後遺留下來能夠長期維持許可權的東西

漏洞是由於自身,後門是漏洞利用後留下的

高級的不知道,低級的說一個吧,比如你這個系統的web存在注入或者命令執行,上傳這種肯定是漏洞,包括ms17010等等都屬於漏洞,後門是有人通過前期獲得許可權放遠控馬,或者可以造成長期或者短期控制的都屬於後門。

上面都是我的瞎猜。。水平有限。

推薦閱讀:
相关文章