iT邦幫忙

2024 iThome 鐵人賽

DAY 2
0
Security

網路安全基礎概念與實作系列 第 2

Day 2: 常見的網路攻擊手法

  • 分享至 

  • xImage
  •  

分散式拒絕服務攻擊 (DDoS)

定義:
攻擊者利用多個受控的電腦(通常被稱為「僵屍網路」)向目標伺服器發送大量的無效請求,耗盡伺服器的資源,使其無法提供正常合法用戶的請求。

手法:
1.寬頻消耗型攻擊
主要透過大量數據流量來消耗目標網路,導致正常流量無法通行。
2.資源消耗型攻擊
針對系統的計算資源或儲存空間,例如透過大量的請求來消耗目標的處理能力或記憶體資源,最終使系統無法正常運行。

影響:
DDoS 攻擊使目標伺服器或網絡無法處理合法請求,導致服務暫停或完全中斷,影響用戶的正常使用,即使服務不完全中斷,伺服器處理大量惡意流量後,性能也會嚴重下降,導致網頁加載時間變長或數據傳輸速度減慢,對依賴在線服務的企業來說,長時間的服務中斷會導致收入損失,特別是對電子商務網站和金融機構等行業,甚至可能損害品牌形象和用戶信任。

防禦措施:
使用 CDN(內容傳遞網路)和負載平衡來分散流量、用DDoS 防護服務或防火牆來過濾惡意流量。

SQL 注入攻擊 (SQL Injection)

定義:
攻擊者通過在 Web 應用程序的輸入字段中插入惡意的 SQL 語句,試圖操縱數據庫執行未經授權的操作,如獲取敏感數據、篡改數據、刪除數據等。

影響:
攻擊者可以未經授權地訪問、修改或刪除數據庫中的數據,敏感訊息洩露,嚴重影響系統的完整性和機密性。

防禦措施:

  1. 使用參數化查詢(Prepared Statements)來避免 SQL 語句拼接、過濾和驗證用戶輸入,防止惡意數據注入。
  2. 最小權限原則:限制應用程序用戶的數據庫操作權限。

跨網站指令碼 (XSS, Cross-Site Scripting)

定義:
XSS 是指攻擊者向網站注入惡意腳本,當其他用戶瀏覽該網站時,這些腳本將在受害者的瀏覽器中執行。攻擊者可以利用 XSS 竊取用戶的 Cookie、會話信息或執行其他惡意操作。

影響:
攻擊者可以劫持用戶會話、竊取敏感數據、偽造身份操作,且用戶數據可能被修改或盜取。

防禦措施:
對所有用戶輸入進行嚴格過濾和轉義,防止腳本注入,或使用安全的內容安全策略(Content Security Policy, CSP)來限制外部腳本加載。

跨站請求偽造 (CSRF, Cross-Site Request Forgery)

定義:
CSRF 是一種攻擊,攻擊者誘騙受害者在已經登錄的應用中執行未經授權的操作。攻擊者通常會發送一個惡意連結或表單,當受害者點擊或提交後,應用程序會在受害者不知情的情況下執行攻擊者指定的操作。

影響:
攻擊者可以利用已驗證的會話(session)執行未經授權的操作,如轉帳、修改密碼等,而攻擊成功的前提是受害者已登入目標網站,且攻擊連結是在同一個會話中發送的。

防禦措施:
使用 CSRF token 來驗證請求的合法性、檢查 HTTP 請求的來源和參照位址(Referer Header)。


上一篇
Day 1: 網路安全概述
下一篇
Day 3: 安裝Nmap
系列文
網路安全基礎概念與實作30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言