iT邦幫忙

2024 iThome 鐵人賽

DAY 4
0
自我挑戰組

30天資安快速學習系列 第 4

30天資安快速學習DAY-4常見威脅類型【下】

  • 分享至 

  • xImage
  •  

上一篇寫到五種常見威脅的類型,這篇一樣有五種常見類型來做說明。

6. SQL 注入 (SQL Injection)

SQL 注入是一種網頁攻擊技術,攻擊者通過將惡意 SQL 代碼注入到應用程式的輸入字段中,從而操縱應用程式的後端數據庫。這可能導致數據被竊取、修改或刪除。這種攻擊常見於輸入未經充分驗證的表單或查詢參數。

7. 跨站腳本攻擊 (Cross-Site Scripting, XSS)

跨站腳本攻擊發生在攻擊者將惡意腳本注入到網頁中,當其他用戶訪問該頁面時,腳本會在其瀏覽器中執行。這類攻擊通常用來竊取用戶會話 Cookie,進行未經授權的操作或偽裝成用戶與應用程式交互。

8. 零日攻擊 (Zero-Day Attacks)

零日攻擊指的是針對尚未修補或公開的軟體漏洞進行的攻擊。由於漏洞是新的,通常沒有已知的防禦措施,使得這類攻擊非常難以防範並具有高度危險性。攻擊者通常利用這些漏洞在安全補丁發布前進行大規模的攻擊。

9. 社交工程 (Social Engineering)

社交工程利用人性的弱點來進行攻擊。例如,攻擊者可能偽裝成技術支持人員,要求用戶提供密碼或其他敏感信息。這類攻擊依賴於受害者的信任或恐慌心理,是信息安全中人員培訓的重要內容。
https://ithelp.ithome.com.tw/upload/images/20240918/20168500P7OWTvYMax.png
圖片來源:https://blog.twnic.tw/2020/10/30/15996/
https://ithelp.ithome.com.tw/upload/images/20240918/20168500KAlzDKRPbN.png
圖片來源:https://www.digiknow.com.tw/knowledge/645ca59308e69

10. 內部威脅 (Insider Threats)

內部威脅是指來自組織內部人員的威脅,這些人可能利用其合法存取權限進行惡意行為,如竊取機密信息、破壞系統或洩漏數據。內部威脅可能來自於不滿的員工、前員工或被策反的內部人員。

這些威脅類型涵蓋了資安領域中的主要風險點,每一類威脅都有其特定的防範措施,通常需要綜合使用技術防護、政策制定和人員培訓來應對。

總結:本文介紹了五種常見的資安威脅類型:SQL注入、跨站腳本攻擊、零日攻擊、社交工程和內部威脅。SQL注入涉及操縱後端數據庫;跨站腳本攻擊通過注入惡意腳本來竊取用戶信息;零日攻擊利用未修補的軟體漏洞;社交工程利用人性弱點進行欺騙;內部威脅來自組織內部人員的惡意行為。這些威脅需要綜合使用技術防護、政策制定和人員培訓來應對,使傷害降到最低。


上一篇
30天資安快速學習DAY-3常見威脅類型【上】
下一篇
30天資安快速學習DAY-5資安法規與標準
系列文
30天資安快速學習30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言