网络安全

网络安全相关知识

网络攻击及应对措施

1. 恶意软件攻击

攻击描述：指病毒、蠕虫、木马、勒索软件等恶意程序，通过破坏系统、窃取数据或消耗资源造成危害。

防御措施：

• 技术层面：安装并更新防病毒软件、防火墙。
• 管理层面：仅从官方或可信来源下载软件，及时为系统和应用打补丁。
• 意识层面：不随意点击不明链接或下载附件，定期备份重要数据。

2. 网络钓鱼攻击

攻击描述：攻击者通过伪造的电子邮件、短信、网站等，诱骗用户泄露敏感信息（如账号、密码）或下载恶意软件。

防御措施：

• 用户警惕：对索要个人信息或催促操作的陌生信息保持警惕，通过官方渠道核实。
• 检查细节：留意网址拼写错误，注意浏览器安全提示，优先访问HTTPS网站。
• 增强认证：为重要账户开启多因素认证（MFA），即使密码泄露也能增加屏障。

3. 中间人攻击

攻击描述：攻击者秘密插入到通信双方之间，拦截、窃听甚至篡改通信数据，而通信双方并不知情。

防御措施：

• 加密通信：使用VPN加密所有流量；尽量避免使用不可信的公共Wi-Fi。
• 验证证书：浏览器提示证书错误时，切勿忽略。
• 系统更新：及时安装系统和安全软件更新，修复可能被利用的漏洞。

4. DDoS攻击

攻击描述：分布式拒绝服务攻击。通过控制大量计算机向目标服务器发送海量无效请求，耗尽其资源，导致合法用户无法访问。

防御措施：

• 流量清洗：部署专业的DDoS防护服务，在攻击流量到达服务器前进行识别和清洗。
• 架构优化：采用负载均衡和CDN，将流量分散到多个节点。
• 配置规则：设置防火墙规则，限制异常流量（如限制连接频率）。

5. SQL注入攻击

攻击描述：攻击者将恶意的SQL代码插入到Web应用的输入参数中，欺骗服务器执行，从而窃取、篡改或删除数据库数据。

防御措施：

• 参数化查询：使用预编译语句或参数化查询，避免将用户输入直接拼接成SQL语句。
• 最小权限原则：为数据库账户分配仅能满足需求的最小权限。
• 输入验证：对用户输入的数据进行严格的格式、类型检查，过滤特殊字符。

6. XSS攻击

攻击描述：跨站脚本攻击。攻击者将恶意脚本注入到可信网页中，当用户浏览时脚本执行，从而盗取Cookie等敏感信息。

防御措施：

• 输出转义：在将用户提交的内容显示回页面之前，对关键字符进行正确的HTML/JS转义。
• 内容安全策略：设置CSP HTTP头，明确告诉浏览器只允许加载和执行来自指定来源的脚本。
• 输入验证：对用户输入的数据进行严格校验。

7. CSRF攻击

攻击描述：跨站请求伪造。攻击者诱骗已登录的用户访问恶意页面，该页面会利用用户的登录状态伪造非本意的请求。

防御措施：

• 使用Anti-CSRF Token：在关键请求中加入随机、不可预测的Token，并在服务端验证。这个 Token 由服务器生成，并同时存储在用户的会话（Session）中。当用户提交请求时，服务器会验证请求中的 Token 是否与会话中存储的 Token 一致。攻击者无法预测或获取这个 Token，因此无法伪造出有效的请求 。

  Token 的存放位置：通常作为一个隐藏字段嵌入在 HTML 表单中，或者放在 HTTP 请求头里（如 X-CSRF-TOKEN）。

• 校验请求来源：检查HTTP请求头中的Referer或Origin字段，确保请求来源于同域。

• 设置SameSite Cookie属性：为Cookie添加SameSite属性，限制在同站请求中发送。

• 敏感操作二次验证：对于如转账、改密等操作，要求用户再次输入密码或进行其他验证。