如题,经常说发现漏洞,到底是后门被发现了才说成是漏洞,还是真的就是漏洞而已。

漏洞一般是用于提权(获得管理员许可权),比较有价值的是0-day漏洞,利用这种漏洞可以暂时性地获得很高的许可权;但是这样的漏洞一经曝出,安全人员会很快地打补丁,这样漏洞就消失了;所以一般会在漏洞可用期间,安装后门,后门程序可以让攻击者长久地维持对被攻击机器的高许可权;同时,为了防止后门程序被受害者发现,一般会在漏洞可用期间同时安装上rootkit。这样,即使漏洞被补上了,通过后门,攻击者也可以随时返回。

可以参考链接进一步理解:

ustcsse308:信息安全课程13:rootkit(1)?

zhuanlan.zhihu.com图标ustcsse308:信息安全课程14:rootkit(2)?

zhuanlan.zhihu.com图标

真的就是漏洞啊。

不过也会有一些别有用心的,举几个栗子:

一,特殊软体的内置后门特征,究竟是无心插柳还是别有用心各位看官自己琢磨啦!

Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个 (beacon),可被团队进行分散式协团操作。

Cobalt Strike的 「Team Server」 Web伺服器是基于NanoHTTPD,这是一个用Java编写的开源Web伺服器。但是,此Web伺服器无意中在其所有HTTP响应中返回了多余的空白符。

因此导致,老版本的Cobalt Strike网路伺服器的所有HTTP响应中都有空格:

可以看出该特征已经存在了7年之久

基于此,边可以通过构造规则,针对全球的具有这类特征的HTTP响应进行伺服器抓取。

二、家用路由固件中发现人为后门,究竟是黑客植入还是别有用心各位看官自己琢磨啦!

嵌入式设备安全研究员逆向工程出友 讯科技(D-Link)路由器固件中的后门。D-Link的固件由其美国子公司Alpha Networks开发。安全研究人员发现,不需要任何验证,只需要浏览器用户代理字元串(User Agent String)是「xmlset_roodkcableoj28840ybtide」(不含引号)就能访问路由器的Web界面,浏览和改变设备设置。受影 响的友讯科技路由器型号包括 DIR-100DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+和TM-G5240等。网友发 现,roodkcableoj28840ybtide字元从后往前读是「Edit by 04882 Joel Backdoor」,其中Joel可能是Alpha Networks的资深技术总监Joel Liu。

参考:

  • 通过存在7年之久的「空格」特征识别在野Cobalt Strike伺服器组
  • https://www.oschina.net/news/45029/reverse-engineering-a-d-link-backdoor

一般漏洞是外部条件触发,逻辑不是判断出来的,后门是

看动机。

漏洞和后门都是程序出现了安全问题,存在可被非法利用的隐患。

无意造成,就是漏洞。

刻意为之,就是后门。

只是,故意和过失的界限非常模糊,难以确定。

漏洞是自身的缺陷 后门是被入侵后遗留下来能够长期维持许可权的东西

漏洞是由于自身,后门是漏洞利用后留下的

高级的不知道,低级的说一个吧,比如你这个系统的web存在注入或者命令执行,上传这种肯定是漏洞,包括ms17010等等都属于漏洞,后门是有人通过前期获得许可权放远控马,或者可以造成长期或者短期控制的都属于后门。

上面都是我的瞎猜。。水平有限。

推荐阅读:
相关文章