iT邦幫忙

2022 iThome 鐵人賽

DAY 11
0
Security

資安新人30系列 第 11

資安新人30 Day11 網路安全-常見網路攻擊手法

  • 分享至 

  • xImage
  •  

接下來換下一科資訊安全技術概論,首先先了解有那些攻擊手法吧/images/emoticon/emoticon16.gif

常見網路攻擊手法

網路釣魚

通常利用電子郵件簡訊,利用信件內容夾帶惡意連結的網址,讓受害者點選到特定網站,誘騙獲取使用者輸入相關資料(帳密、信用卡等個人資料)。

防護

  • 收到陌生簡訊時,需要提高警覺,不誤按連結
  • 裝防毒軟體
  • 不輕易提供個資

DDoS阻斷服務攻擊

利用大量的流量使目標伺服器或其周圍的基礎設施不堪重負,從而阻斷目標伺服器、服務或網路的正常流量,導致無法正常提供服務,可用性受到風險

緩解

主要是區分攻擊流量和正常流量,利用各種設備禁止異常IP

  • 防火牆,限制異常IP位址發出的請求
  • 黑洞引導,傳送至一個「黑洞」(空介面或不存在的電腦位址)
  • WAF(Web application firewall,保護目標伺服器免受來自特定類型的惡意流量的攻擊

網頁注入攻擊

2021 OWASP Top 10,排行第三

注入攻擊,

  • SQL注入
  • 命令注入
  • 跨站腳本
  • XML外部實體注入(XXE)

預防方式

不要輕易信任使用者輸入

  • 使用參數化
  • 使用正規表示法(Regex)或者輸入參數限制
  • 限制系統帳號權限,以防發生問題時,獲得過大的權限

勒索軟體

一種惡意軟體或惡意程式碼,透過破壞或封鎖重要資料或系統的存取權來威脅受害人,要求被害者付贖金,使用密碼學加解密演算法來加密檔案,使得檔案無法使用/images/emoticon/emoticon09.gif

預防

  • 隨時做好資料備份及備援
  • 不任意點開來路不明、惡意郵件

零時差惡意攻擊

利用已知的安全漏洞,但未修補程式的漏洞尚未更新至安全版本的軟體

預防

  • 定期接收新漏洞資訊
  • 時常更新軟體

物聯網(loT)攻擊

現今家中的物聯網裝置越來越多,但往往忽略它的存在,缺乏一些資安意識,忘記更新安全版本或者維護時限過了進行汰換,或者使用預設密碼沒有變更密碼

預防

  • 定期檢查修補程式和更新
  • 變更預設密碼,使用強且不同的密碼

DNS攻擊

網域名稱系統(Domain Name System,DNS)是網際網路的一項服務,負責紀錄網域名稱(有特定意思,比較方便記)與IP(一串數字不容易記)的對應

這次去資安大會有聽到相關的,後面有時間再針對這個攻擊紀錄一篇學習筆記~記!!! /images/emoticon/emoticon07.gif

參考資料

如果有任何錯誤的地方歡迎提出。/images/emoticon/emoticon41.gif

後記

可以觀看我們團隊的鐵人發文喔~


上一篇
資安新人30 Day10 IPAS 考題練習
下一篇
資安新人30 Day12 網路架構與網路通訊協定
系列文
資安新人3030
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言