資訊安全常見攻擊手法(慢慢更新...)
社交工程攻擊(Social Engineering)
通過電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼,或誘騙使用者開啟檔案、圖片,以植入惡意程式、暗中收集機敏性資料。
常見手法:網路釣魚(Phishing)、交友詐騙(Catfishing)。
中間人攻擊(MITM,Man-in-the-middle attack)
從中攔截客戶端與網站的內容,同時監控數據,並準備在適當時機攔截和操縱通訊。
常見手法:IP欺騙(IP spoofing)、DNS欺騙(DNS spoofing)、設置公開的Wi-Fi陷阱。
進階持續性威脅(APT,Advanced Persistent Threat)
具計畫性、持續性、複雜且緩慢的攻擊手法,不屬於單一威脅,而是一連串的攻擊進行式。
常見手法:水坑攻擊(Watering Hole)、欺騙網站、惡意電子郵件。
零時差攻擊(Zero-Day Vulnerability)
當軟韌體或硬體設計,已被公開揭露而廠商仍未修補的缺失。遭到惡意人士在廠商釋出修補更新之前針對這項缺失進行攻擊。
跨網站指令碼攻擊(XSS,Cross-site-scripting)
利用網站上允許使用者輸入的欄位,注入html與script語言,造成瀏覽器主動下載並執行惡意程式碼,進而影響到其他使用者瀏覽網頁。
跨站請求偽造(CSRF,Cross-site Request Forgery)
針對單一驗證或沒有驗證(cookie、token)的網站請求,盜取使用者的驗證資訊,從中進行偽造。
跨站資源共享(CORS,Cross Origin Resourse-Sharing)通過設定http的header,讓客戶端有資格跨域訪問資源,從中進行偽造。
總結:CSRF利用的是網站對使用者網頁瀏覽器的信任,XSS利用的是使用者對指定網站的信任,上述三種攻擊經常被結合利用。
阻斷服務攻擊(DoS,Denial of Service)
攻擊者向一個系統發送惡意文件,使其無法使用,攻擊者是利用一台設備來發動DoS攻擊。
分散式阻斷服務攻擊(DDoS,Distributed Denial-of-Service)
攻擊者同時向多個系統發送惡意文件,以大流量造成系統癱瘓,攻擊者通常利用多台設備來發動DDoS攻擊。
常見手法:Ping洪泛攻擊、UDP洪泛攻擊、TCP洪泛攻擊、淚滴攻擊(Teardrop)、協議攻擊、Smurf攻擊
DNS放大攻擊(DNS Amplification)
向 DNS 提出請求時提供欺騙性 IP 位址,目標隨後會收到來自 DNS的回應,通常攻擊者會偽造請求,產生大量的流量,盡可能讓DNS給出更多回應。
NTP放大攻擊
利用一種網路時間協定 (NTP) 伺服器功能,發送放大的 UDP 流量。
TCP反射攻擊
基於TCP三向交握,攻擊者偽造SYN請求,反射流量讓伺服器回應ACK。
資料加密勒索攻擊
資料外洩勒索攻擊
注入攻擊:
在不良的程式設計中,夾帶惡意的程式碼,在未被檢查或過濾的情況下,間接的讓伺服器執行惡意指令,常見於需要使用者輸入的欄位或表單。
SQL Injection:夾帶惡意的SQL資料庫指令,例如:查詢使用者時於指令後方添加 or ‘1’ = ‘1’; 讓資料庫返回所有使用者資料。
Code Injection(Command Injection):夾帶惡意程式碼或惡意指令,例如:Linux指令的pwd以顯示密碼。
Function Call Injection:夾帶調用函數的惡意程式碼,讓攻擊者可調用函數,有可能是在網址後綴暴露了函數名稱,例如:test.com/index.php?action=edit的action函數。
中國菜刀(China Chopper)
通過向網站提交一句簡短的程式碼,來達到向伺服器插入木馬,並最後獲取web shell。
常見手法:建立指令netstat an|find “ESTABLISHED.”
