溫 妍

(大同市公安消防支隊(duì) 開(kāi)發(fā)區(qū)消防大隊(duì)，山西 大同 037000)

?

基于層次模型的瀏覽器漏洞精確分類(lèi)挖掘方案

溫 妍

(大同市公安消防支隊(duì) 開(kāi)發(fā)區(qū)消防大隊(duì)，山西 大同 037000)

深入分析瀏覽器安全漏洞的形成原因及利用效果，結(jié)合層次分類(lèi)模型，設(shè)計(jì)了一種架構(gòu)于APH模型的瀏覽器安全漏洞分類(lèi)方法.該方法由漏洞成因與攻擊效果兩個(gè)維度來(lái)分類(lèi)瀏覽器的安全漏洞，還將分類(lèi)結(jié)果和CNNVD分類(lèi)方法的分類(lèi)結(jié)果作了對(duì)比分析.研究結(jié)果表明，文中的分類(lèi)方法具備更廣的適用范圍.

安全漏洞；層次模型；瀏覽器；兩個(gè)維度

近年來(lái)，網(wǎng)絡(luò)覆蓋面逐漸增加，瀏覽器已發(fā)展成我們平時(shí)對(duì)Internet進(jìn)行訪問(wèn)過(guò)程中最常用的一個(gè)工具，其在很大程度上關(guān)系著廣大用戶的切身利益，所以瀏覽器安全已經(jīng)成為業(yè)界高度重視的一個(gè)問(wèn)題；伴隨其代碼規(guī)模的逐漸提高，所反映出的不足同樣在逐漸增加.因此，對(duì)其安全漏洞加以分類(lèi)，在此基礎(chǔ)上適當(dāng)?shù)貐^(qū)分各種漏洞，具有非常重要的意義，使人們能夠充分掌握其特點(diǎn)，同時(shí)還可以為做好防護(hù)工作提供指導(dǎo)和借鑒.

自20世紀(jì)70年代RISOS(Research Into Secure Operating System)項(xiàng)目[1]起，理論領(lǐng)域一直在探討漏洞分類(lèi)這一個(gè)課題，先后推出Landwehr[2]、Aslam[3]、Bishop[4]等一系列非常具有代表性的漏洞分類(lèi)技術(shù).此處，我們主要分析了中國(guó)國(guó)家信息安全漏洞庫(kù)CNNVD(China National Vulnerability Database of Information Security)與漏洞信息庫(kù)CEV(Comom Vulnerability and Exposures)的具體劃分技術(shù)及其主要特征，在此基礎(chǔ)上，充分兼顧到瀏覽器漏洞的主要特點(diǎn)，闡明了基于層次分類(lèi)法AHP(Analytic Hierarchy Process)結(jié)構(gòu)的分類(lèi)法.

1 分類(lèi)方法

1.1 CEV安全漏洞庫(kù)

到2014年元旦為止，這一個(gè)列表[5]之中共收錄漏洞條目60 718項(xiàng)，在此基礎(chǔ)上，將它們分成XSS、SQL-Inject、buffer overflow、informatoinleak、menory leak、spoof、design error、double free等37種，在此不再一一贅述.

設(shè)S1與S2為2個(gè)類(lèi)型的漏洞，在這種情況下對(duì)兩者進(jìn)行分類(lèi)必須滿足下列基本規(guī)則[6]：第一，若S1與S2兩者的屬性特征存在著差異，在這種情況下，我們將兩者歸入異類(lèi)之中；若已知其中1個(gè)的屬性特征，在這種情況下將兩者歸入異類(lèi)之中；若兩者的屬性特征均為未知，在這種情況下就對(duì)兩者同等對(duì)待；第二，若S1與S2兩者具有相同的屬性特征，然而兩者的存在范圍不同，在這種情況下則將兩者歸入異類(lèi)之中；第三，若S1與S2兩者具有相同的屬性特征，同時(shí)兩者具有相同的存在范圍，在這種情況下則將兩者歸入同類(lèi)之中；第四，若S1與S2通過(guò)相同的核心代碼引起，然而兩者所屬的軟件類(lèi)型不同，在這種情況下需要參考它們的核心代碼進(jìn)行劃分.

CEV安全組織將在其中收錄的每一漏洞進(jìn)行編號(hào)、命名，在此基礎(chǔ)上通過(guò)標(biāo)準(zhǔn)化的方式來(lái)進(jìn)行表示，且根據(jù)上述4個(gè)規(guī)則將它們歸入各類(lèi)之中，為業(yè)界相關(guān)人士開(kāi)展安全工作提供指導(dǎo)和借鑒，使他們的效率明顯提升.然而，這一個(gè)方法還存在著一定的不足之處，其參考的屬性特征相對(duì)繁雜，同時(shí)并未對(duì)它們加以歸納，除此之外，還具有相對(duì)較低的完備性，現(xiàn)實(shí)之中的許多漏洞并無(wú)法通過(guò)該技術(shù)來(lái)劃分.

注：其他類(lèi)別包括信息泄露、設(shè)計(jì)錯(cuò)誤、格式化字符串等其他一些漏洞類(lèi)別.圖1 CNNVD漏洞分類(lèi)統(tǒng)計(jì)

1.2 CNNVD安全漏洞庫(kù)

CNNVD安全漏洞庫(kù)[7]通常將漏洞劃分成SQL注入、緩沖區(qū)溢出等諸多種類(lèi)，具體來(lái)說(shuō)，該技術(shù)一般參考漏洞的產(chǎn)生根源或其具體的攻擊作用來(lái)進(jìn)行.

CNNVD對(duì)各種安全漏洞加以劃分，在此基礎(chǔ)上還指出了它們的具體描述以及補(bǔ)丁信息，能夠?yàn)橄嚓P(guān)人員分析漏洞、評(píng)估軟件的風(fēng)險(xiǎn)狀況創(chuàng)造有利條件，同時(shí)還能夠確保系統(tǒng)的安全.然而，CNNVD技術(shù)具有一定的缺點(diǎn)，其尚未達(dá)到完備狀態(tài)，其中超過(guò)五分之一的漏洞無(wú)法通過(guò)該技術(shù)加以劃分，具體見(jiàn)圖1.不僅如此，其必須通過(guò)多層面來(lái)描述漏洞，鑒于這個(gè)方面的原因，從多個(gè)層面來(lái)劃分同樣是非常重要的事情.盡管CNNVD兼顧到其成因與攻擊效果等，然而實(shí)際劃分過(guò)程中并未進(jìn)行區(qū)分.例如“CNNVD-201309-304”，從其成因方進(jìn)行分析，其屬于資源管理錯(cuò)誤型，然而從其具體的利用效果進(jìn)行分析，其屬于信息泄露型，需要注意的問(wèn)題是，CNNVD只是將其劃分成第一種類(lèi)型.

2 架構(gòu)于AHP模型的瀏覽器安全漏洞分類(lèi)方法

2.1 層次分類(lèi)模型

我們知道，產(chǎn)生瀏覽器安全漏洞的具體根由非常繁雜，另一方面，利用效果同樣存在著一定的差異，所以怎樣最大限度地科學(xué)劃分其類(lèi)型，具有很大的難度.對(duì)漏洞進(jìn)行劃分旨在為業(yè)界人士進(jìn)行深入探討提供參考依據(jù).基于此，在分類(lèi)過(guò)程中應(yīng)當(dāng)最大限度地分析漏洞的屬性特征，所以應(yīng)根據(jù)其各種屬性特征，從各個(gè)維度來(lái)加以分類(lèi)，設(shè)計(jì)相應(yīng)的分類(lèi)方法.

AHP是專(zhuān)門(mén)對(duì)相對(duì)繁瑣與不明確的問(wèn)題進(jìn)行決策的手段，具體來(lái)說(shuō)，其一般在分析決策方面應(yīng)用，用來(lái)處理許多無(wú)法定量研究的問(wèn)題.通過(guò)AHP模型，對(duì)各個(gè)層次通過(guò)各種屬性特征來(lái)進(jìn)行劃分，構(gòu)建瀏覽器安全漏洞的AHP模型.通過(guò)該方式進(jìn)行分類(lèi)，不僅能夠通過(guò)劃分結(jié)果非常清晰地弄清楚漏洞的不同屬性特征，還能夠?yàn)闃I(yè)界人士通過(guò)該技術(shù)來(lái)研究瀏覽器安全提供有力條件[8].就某個(gè)瀏覽器漏洞來(lái)說(shuō)，依次從其具體成因與攻擊效果對(duì)其實(shí)施分析，這樣能夠非常明確地反映上述2個(gè)屬性特征(具體見(jiàn)圖2).

圖2 瀏覽器安全漏洞層次分類(lèi)模型

2.2 漏洞分類(lèi)的結(jié)果

圖2依次從其具體成因與攻擊效果對(duì)其實(shí)施分析，這樣能夠非常明確地反映上述2個(gè)屬性特征.接下來(lái)我們對(duì)分類(lèi)結(jié)果加以描述.

2.2.1 基于成因的漏洞分類(lèi)

按照其形成的具體原因，從相對(duì)抽象的層次上將其劃分成訪問(wèn)碼、輸入驗(yàn)證錯(cuò)誤等諸多種，另一方面，從相對(duì)偏低的層次進(jìn)行劃分，能夠?qū)⑸鲜鰩追N劃分成更多類(lèi)型.具體如下所示.

(1)緩沖區(qū)溢出漏洞

如果程序想要寫(xiě)入某緩沖區(qū)比其大的數(shù)據(jù)，在這種情況下將發(fā)生緩沖區(qū)溢出，形成該種漏洞.在代碼層面上，一般情況下該種主要?jiǎng)澐譃橐韵?種類(lèi)型，其一為程序與編程者提前的假設(shè)相違背，其二為程序之中引入危險(xiǎn)函數(shù)(包括strcpy()等)，它們并未對(duì)所輸入數(shù)據(jù)實(shí)施邊界檢查.該種漏洞具有非常大的危害，能夠造成內(nèi)存里面其余的信息被覆蓋、程序崩潰等后果.

(2)代碼注入漏洞

所謂代碼注入，即在應(yīng)用程序不可預(yù)知的條件下，通過(guò)某技術(shù)將攻擊者的代碼引入許多應(yīng)用程序里面，通過(guò)這種方式來(lái)改變其進(jìn)程或結(jié)果.該種漏洞將造成用戶數(shù)據(jù)外泄，保密數(shù)據(jù)丟失，有時(shí)候還能夠使黑客控制機(jī)器，具體來(lái)說(shuō)，其中主要有SQL注入漏洞等.比如，在用戶請(qǐng)求中插進(jìn)“〈script〉alert(’XSS’);〈/script〉”的時(shí)候(http://testapp.com/test.php?input=〈script〉alert(’XSS’);〈/Script〉)，在這種情況下，若目標(biāo)WebServer沒(méi)有對(duì)請(qǐng)求進(jìn)行相應(yīng)的加工則返回頁(yè)面，這樣當(dāng)瀏覽器解析返回結(jié)果的時(shí)候，會(huì)將“〈script〉alert(’XSS’);〈/Script〉”視為腳本命令，然后對(duì)其進(jìn)行執(zhí)行，也就是將有警告的對(duì)話框彈出，另一方面，若插入的為惡意代碼，那么后者就會(huì)被執(zhí)行，于是或許將造成數(shù)據(jù)外泄的安全事故.

(3)訪問(wèn)控制繞過(guò)漏洞

為避免一些信息受到非法訪問(wèn)，并且為能夠充分確保合法者的正當(dāng)權(quán)限，通常情況下，系統(tǒng)往往均具有自身的訪問(wèn)控制策略.然而，如果其設(shè)計(jì)具有能夠被使用的邏輯錯(cuò)誤，在這種情況下，或許將會(huì)被非法使用，將相應(yīng)的策略繞過(guò).該種類(lèi)型的漏洞可以造成非法者的權(quán)限增加，使其能夠訪問(wèn)或私自竊取那些受保護(hù)信息.不僅如此，其所造成的后果并非單純停留在自身方面，而且可以使相關(guān)漏洞的危害明顯提高.

(4)釋放后使用漏洞

當(dāng)系統(tǒng)對(duì)那些釋放的內(nèi)存進(jìn)行引用的時(shí)候，則將發(fā)生該種漏洞.如果程序?qū)δ切┽尫诺膬?nèi)存進(jìn)行使用，有時(shí)內(nèi)存或許已被分配至其他的指針，這樣如果重新對(duì)其使用，因數(shù)據(jù)信息早就發(fā)生了變化，正是這個(gè)方面的原因，或許將對(duì)合法內(nèi)存產(chǎn)生危害.不僅如此，一定條件下，例如空間較小而不能對(duì)輸入數(shù)據(jù)進(jìn)行處理的時(shí)候，瀏覽器或許將其中的內(nèi)存(正在使用)釋放掉，使得非法者的數(shù)據(jù)得以進(jìn)入，這樣，如果重新對(duì)那些釋放的內(nèi)存進(jìn)行調(diào)用，則將造成執(zhí)行錯(cuò)誤.

(5)路徑遍歷漏洞

用戶利用瀏覽器向server發(fā)起讀取請(qǐng)求的時(shí)候，一般通過(guò)在URL中向server提交的參數(shù)來(lái)確定該文件名，例如：“http://wwww.xxxxxx.com/getfile=image.jpg”.當(dāng)server對(duì)接收到的image.jpg進(jìn)行處理后，將為其添加相應(yīng)的路徑，其具體形式如下所示：“d://site/image/image.jpg”，向用戶返回讀取的信息.然而，若攻擊者使用server的上述特性，例如通過(guò)“～/”、“/..”等來(lái)實(shí)現(xiàn)目錄跳轉(zhuǎn)回溯，在這種情況下，則能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)信息的越權(quán)訪問(wèn).孟永黨等相關(guān)專(zhuān)家學(xué)者在研究過(guò)程中指出，一種基于AHP模型的分類(lèi)方法2319或覆蓋掉服務(wù)器的敏感數(shù)據(jù)，該種漏洞叫做路徑遍歷漏洞.

2.2.2 基于攻擊效果的漏洞分類(lèi)

按照利用效果將漏洞劃分成以下幾種類(lèi)型，接下來(lái)分別進(jìn)行闡述.

(1)信息泄露漏洞

當(dāng)調(diào)試信息或系統(tǒng)數(shù)據(jù)經(jīng)由日志函數(shù)或輸出流而發(fā)生外泄的時(shí)候，在這種情況下，將出現(xiàn)該種漏洞.具體來(lái)說(shuō)，系統(tǒng)之中的敏感信息往往利用下列渠道發(fā)生外泄：

①攻擊者對(duì)統(tǒng)計(jì)信息進(jìn)行查詢，利用這種方式，能夠從中找出許多敏感信息；

②攻擊者通過(guò)server給予的錯(cuò)誤數(shù)據(jù)，能夠在攻擊過(guò)程中得到敏感信息；

③利用標(biāo)準(zhǔn)數(shù)據(jù)通道對(duì)敏感數(shù)據(jù)進(jìn)行傳輸?shù)倪^(guò)程中，或許將導(dǎo)致后者外泄；

④程序并未將全部異常信息捕獲的時(shí)候，在這種情況下，調(diào)試信息將會(huì)發(fā)生外泄，黑客將會(huì)利用它來(lái)進(jìn)行攻擊.

(2)惡意代碼執(zhí)行漏洞

設(shè)計(jì)工作者在源碼編寫(xiě)過(guò)程中，并未對(duì)其中某些接口實(shí)施過(guò)濾操作，當(dāng)用戶將執(zhí)行命令提交給瀏覽器的時(shí)候，將使得后者在并未指定路徑的前提下對(duì)其執(zhí)行，這樣或許將準(zhǔn)許黑客利用改變MYMPATH等方式來(lái)執(zhí)行惡意代碼，該種漏洞叫做惡意代碼執(zhí)行漏洞.

(3)拒絕服務(wù)漏洞.

通過(guò)該種類(lèi)型的漏洞，攻擊者能夠進(jìn)行DOS攻擊，通過(guò)這種方式來(lái)消耗系統(tǒng)的資源，使其逐漸消耗完，最終使程序喪失響應(yīng)能力或陷入崩潰局面.一般情況下，之所以會(huì)發(fā)生該種漏洞，往往是由于系統(tǒng)自身存在著一定的不足或沒(méi)有妥善處理錯(cuò)誤.

3 架構(gòu)于AHP模型的漏洞分類(lèi)方法顯示的效果

為對(duì)該種技術(shù)的實(shí)際應(yīng)用效果進(jìn)行評(píng)估，我們?cè)诖颂庨_(kāi)展了相應(yīng)的驗(yàn)證試驗(yàn).比如，CNNVD-200606-050與CNNVD-200606-051，上述兩者屬于“Mozilla Firefox”的2個(gè)漏洞，接下來(lái)我們對(duì)兩者在CNNVD中與新方法中的分類(lèi)進(jìn)行對(duì)比分析，具體對(duì)比數(shù)據(jù)見(jiàn)表1.

表1 CNNVD與本文分類(lèi)方法的分類(lèi)結(jié)果對(duì)比

通過(guò)表1能夠得知，對(duì)比來(lái)說(shuō)，本文方法和CNNVD存在著明顯的差異，我們的方法依次從成因與效果兩方面來(lái)劃分，該劃分模式具有相對(duì)突出的優(yōu)勢(shì)，能夠非常直觀地體現(xiàn)漏洞的成因及其所造成的負(fù)面作用.不僅如此，對(duì)許多漏洞(例如上文中所闡述的“CNNVD-200606-051”)，CNNVD體現(xiàn)出明顯的劣勢(shì)，無(wú)法實(shí)現(xiàn)細(xì)致的劃分，此處我們主要從兩個(gè)方面來(lái)對(duì)該漏洞實(shí)施劃分(對(duì)“CNNVD-200606-051”，如上表所示，我們依次將其劃分成信息泄露與輸入驗(yàn)證兩種類(lèi)型).

另一方面，我們還從CNNVD中任選漏洞285個(gè)(具體見(jiàn)表2)，然后通過(guò)我們提出的方法來(lái)加以劃分，同時(shí)與CNNVD加以比較.通過(guò)比較可以看出，對(duì)我們選取的285個(gè)漏洞，CNNVD無(wú)法對(duì)其中49個(gè)分類(lèi)，所占份額為17.2%；而我們提出的方法只存在16個(gè)無(wú)法進(jìn)行分類(lèi)，所占份額只有5.6%，后者明顯小于前者，所以我們所提出的方法具有相對(duì)較高的適用性.

表2 兩種分類(lèi)方法的分類(lèi)結(jié)果比較

4 結(jié)語(yǔ)

綜上所述，本文闡明了基于AHP模型的瀏覽器安全漏洞分類(lèi)方法，主要是從成因與效果兩方面來(lái)分析.同時(shí)，本文還對(duì)CNNVD與我們提出的方法進(jìn)行對(duì)比研究.研究結(jié)果表明，相對(duì)于CNNVD來(lái)說(shuō)，我們提出的新方法具有相對(duì)較好的分類(lèi)效果，因此其實(shí)用價(jià)值相對(duì)較高.

[1] ABBOTT R P,CHIN J S,DONNELLEY J E,et al.Security analysis and enhancements of computer operating system[R].NBSIR 76-1041,Institute for Computer Sciences and Technology,National Bureau of Standards,1976.

[2] LANDWHER C E,BULL A R,MCDERMOTT J P,et al.Ataxonomy of computer program security flaws[J].ACM Computing Surveys,1994,26(3)：211-254.

[3] ASLAM T,KRSUL I,SPAFFORD E.Use of a taxonomy of security [C]∥proc of the 19th NCSC National Information Systems Security Conference,1996：1.

[4] BISHOP M.A taxonomy of Unix system and network vulnerabilities[R].Technical Report 95-10,Davis：Department of Computer Science,University of California,1995.

[5] Commonvulnerabilities and eExposures(CVE)[EB/OL].[2014-04-10].http:∥www.cve.mitre.org/.

[6] CHRISTEY S M.CVE abstraction content decisions：Rationale and application[EB/OL].[2014-04-10].http:∥www.cve.mitre.org/cve/editorial_policies/Cd_abstraction.html#big_four.

[7] China Information Technology Security Evaluation Center.China national vulnerability database of information security [EB/OL].[2014-04-10].http:∥www.cnnvd.org.cn/.

[8] DU Jing-nong,LU Yan-sheng.Taxonomy of web-base dapplication vulner abilities[J].Computer Engineering and Applications,2009,45(25):10-14.

[責(zé)任編輯 馬云彤]

A Precision Classification and Searching Scheme forBrowser Vulnerabilities Based on Hierarchical Model

WEN Yan

(Development Zone Brunch, Datong Public Security Fire Brigade, Datong 037000, China)

In this paper, the reasons for the formation of the browser security vulnerabilities and the use of the results are analyzed in depth, combined with the hierarchical classification model, a browser vulnerability classification method based on APH model is designed. This method can classify the security vulnerabilities of the browser from two aspects including the cause of the vulnerability and the effect of the attack, and the classification results are compared with the classification results of the CNNVD classification method. The results show that the classification method has a wider range of application.

security vulnerabilities; hierarchical model; browser; two dimensions

1008-5564(2016)04-0039-05

2016-04-27

溫 妍(1983—),女，山西大同人，大同市公安消防支隊(duì)開(kāi)發(fā)區(qū)消防大隊(duì)工程師，主要從事計(jì)算機(jī)通信與消防研究.

TP393

A