网络安全与攻防-常见网络安全攻防
目录
攻击手段&防御策略
阻断服务攻击(DoS)
地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing)
跨站脚本攻击(XSS)
SQL注入
跨站请求伪造(csrf)
HTTPS中间人攻击
小结
攻击手段&防御策略
阻断服务攻击(DoS)
- 阻断服务攻击(Denial-of service attack),想办法将目标网络资源用尽(自己的服务发出流量消耗你的资源,容易被抓到)
- 变种:分布式阻断服务攻击DDOS(Distributed Denial-of service)(肉鸡:被病毒控制的计算机,控制大量远程的肉鸡耗你的资源,给你发HTTP封包,找你的服务器TCP/IP握手、给你发HTTP请求;所有的队列都被阻塞,正常用户无法访问)
- 带宽消耗型(消耗目标的带宽)
- 资源消耗型(消耗目标的计算资源)
- 购买防火墙(ip加黑名单)
- 交换机(路由器)(高端产品也有防火墙功能)
- 流量清洗
DDOS通常是临时增加带宽,保证用户使用
地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing)
局域网调试手段
局域网中有很多主机、路由器、网线连接为一个局域网,主机在内网里有自己的ip,ip相当于门牌号,mac相当于身份证。
一个主机会定期发ARP Request
路由器/网关会收到请求,会把其他的主机的IP和MAC返给对方
这个时候就给了攻击者有机可乘,
它可以用自己的mac+其他人的IP,在它们通信中间做篡改,截取数据
目前商业级别的机房都有防御手段,防住了。
所以目前都是做分包监听手段,作为一种调试方法。
跨站脚本攻击(XSS)
原理:将跨站脚本(Cross Site Scripting)注入到被攻击的网页上,用户打开网页会执行跨站脚本。(被别人挂码了)
服务端可以转义单引号和尖括号
网页展示时候也做转义
JQ编码时若没有转义,可能就会被这种攻击
SQL注入
提醒后端做 输入过滤,转义
跨站请求伪造(csrf)
转账https://a.com/transfer?money=10000&to=123456
点击下载有趣内容
// 防范手段
<form method="post"><input type="hidden" name="csrf" value="123adfaef234af" />
</form>
HTTPS中间人攻击
小结
- 加强安全意识
- 安全是高压线,遵循公司SOP(安全指南,定期更换密钥,密码不要给同事,离开工位扣上笔记本)
网络安全与攻防-常见网络安全攻防相关推荐
- 北风网--网络安全系列课程之网络攻防全面实战(涉及加密、解密)
讲师简单介绍:讲师龙飞为北风网网络安全领域讲师,讲师曾经先后在国内各大网站,如黑鹰.甲壳虫之类的黑客网站从事网络安全教育!本系列课程由龙飞讲师主讲,共60课时,全面讲述网络安全方面各大知识,是一个不错 ...
- 常见网络安全设备弱口令(默认口令)
常见网络安全设备弱口令(默认口令) 设备 默认账号 默认密码 深信服产品 sangfor sangfor sangfor@2018 sangfor@2019 深信服科技 AD ...
- 网络安全黑客攻击常见方式如何预防黑客攻击黑客思维
网络安全/黑客攻击常见方式/如何预防黑客攻击/黑客思维 网络安全行业是一个非常重要的行业,因为随着人们越来越依赖互联网,保护网络安全变得越来越重要.网络安全专业人员负责保护组织和个人免受网络攻击和数据 ...
- 常见网络安全设备默认口令
[转]安全设备常见网络安全设备默认口令 设备 默认账号 默认密码 深信服产品 sangfor sangfor sangfor sangfor@2018 sangfor sangfor@2019 深信服 ...
- 常见网络安全设备的概念
常见网络安全设备的作用 路由器 交换机 防火墙 WAF(Web应用防火墙) IDS(入侵检测系统) IPS(入侵预防系统) 路由器 层次:网络层 连通不同的网络,实现不同网络之间的互联,同时还可以隔离 ...
- 【Web安全笔记】之【4.0 常见漏洞攻防】
文章目录 4.0 常见漏洞攻防 4.1 SQL注入 4.1.1 注入分类 1. 简介 2. 按技巧分类 1). 盲注 2). 报错注入 3). 堆叠注入 3. 按获取数据的方式分类 1). inban ...
- 为什么要学网络安全?如何学习网络安全?这3个理由告诉你(自己整理的50G网安资料)
目录 1.行业人才需求大: 2.岗位选择多.发展前景好: 3.国家政策: 1.Web安全相关概念(2周) 2.熟悉渗透相关工具(3周) 3.渗透实战操作(5周) 4.关注安全圈动态(1周) 5.熟悉W ...
- 网络安全是什么?网络安全工程师需要学什么?就业前景如何?附赠网络安全学习路线图
前言 <学电脑从入门到精通:黑客攻防从入门到精通>全面且详细地介绍了黑客攻防的基础知识,主要包括黑客攻防前的准备工作.扫描与嗅探攻防.Windows系统漏洞攻防.密码攻防.病毒攻防.木马攻 ...
- 【网络安全】2017中国网络安全十大新闻盘点
作者:渣渣小编 | 小编:阿软 送别了2017的尾巴,我们迎来了崭新的一页.在这个辞旧迎新的时刻,中国软件网针对移动办公.CRM.HR.云计算.大数据.网络安全等细分领域以及软件园区2017年的发展 ...
最新文章
- Java 获取当前时间之后的第一个周几,java获取当前日期的下一个周几
- java date 加一天_Java 8中的时间JAVA成长之路
- linux /etc/profile和/etc/bashrc
- LeetCode Verify Preorder Serialization of a Binary Tree
- 计算机二级基础知识教材,国家计算机二级考试公共基础知识教材
- Windows via C/C++ 学习(15)线程调度、线程优先级和亲缘性
- Mysql中int(M)的含义
- 漫画 | 程 序 员 脱 单 指 南
- mysql datasource.url_SpringBoot配置数据源DataSource
- 搭建基于hyperledger fabric的联盟社区(六) --搭建node.js服务器
- java 弱引用 使用场景_Java 强软弱虚引用介绍及使用场景
- 【全网最全】100款七夕节情人节表白网页制作HTML+CSS+JS
- 基金销售系统和TA系统
- udp端口转发 Linux,Linux下利用iptables快速实现UDP/TCP端口转发
- Spring动态代理实现
- 二分法求解方程的根java_【数值分析】利用二分法和牛顿公式求解方程的根
- 热敏打印机打不出字怎么解决
- uva1391Astronauts【2-SAT】
- 青蛙跳台阶(pta)
- win10误删的注册表能还原吗_win10自带注册表恢复方法 win10注册表误删如何修复...
热门文章
- Paper Reading Notes
- 举例:在从库上备份,到主库上恢复
- 编译出现错误:incomplete type ‘WebsocketSession’ used in nested name specifier。
- 【物联网设计记录】基于机智云云平台的Wi-Fi控制开发板
- 单相逆变器的建模与仿真
- 爬虫 + 自动化利器 selenium 之自学成才篇(二)
- 使用css中的white-space:pre-wrap;让html浏览器显示空白空格符
- eclipse启动失败,提示“发生了错误,请参阅日志文件.log
- 达梦数据库兼容Oracle之SQL语法(一)
- 王立柱《C语言程序设计》3.5.3