什么是网络安全攻击？

18 分钟阅读

威胁行为者利用网络安全攻击对计算机系统、设备或网络执行恶意活动。网络安全攻击可能会使用一种或多种攻击媒介来针对个人或组织，并实现从经济利益到破坏和恐怖主义等各种目标。

例如，威胁行为者可能会使用暴力攻击、撞库或其他形式的社会工程来获得对计算系统的未经授权的访问。更复杂的攻击，例如高级持续性威胁 (APT)，采用各种技术和媒介来获得对企业网络的未经授权的访问，并且在实现其目标之前不会被发现。

成功的网络安全攻击可能会导致数据泄露。接下来，攻击者可能会尝试窃取数据、修改数据、出售数据​​或持有数据以勒索赎金。预防技术包括数据备份、渗透测试、赏金培训和解决安全漏洞。这是有关黑客攻击的广泛指南系列的一部分。

在本文中：

• 网络安全威胁的常见类型
  • 数据泄露
  • SSRF
  • XXE
  • 跨站脚本攻击
  • 代码注入
  • 命令注入
  • SQL注入
  • 远程代码执行
  • 凭证填充
  • 高级持续威胁
  • 供应链攻击
  • 缓存中毒
  • HTTP 请求走私
  • FI 和 RFI
  • 伊多尔
  • 云配置错误
• 如何防止网络安全攻击
  • 渗透测试
  • 持续应用程序测试：赏金计划和漏洞披露计划 (VDP)
  • 创建网络安全意识培训计划
  • 解决 OWASP 十大漏洞
  • 使用 CVE 数据库
  • 监控第三方对您数据的访问
  • 备份您的数据

网络安全威胁的常见类型

1. 数据泄露

数据泄露是一种网络攻击，其中敏感、敏感或受保护的数据被泄露或泄露。各种规模的组织都可能发生数据泄露事件。被盗的数据可能包括个人身份信息 (PHI)、受保护的健康信息 (PHI)、商业秘密、客户数据或其他敏感数据。

如果数据泄露导致个人信息被盗或违反政府或行业合规义务，违规组织可能会面临罚款、诉讼、声誉受损和运营中断。

请参阅我们的数据泄露详细指南了解更多信息。

2. SSRF

服务器端请求伪造 (SSRF) 是一种 Web 安全漏洞，允许攻击者将请求发送到服务器端应用程序中的意外位置。

在典型的 SSRF 攻击中，攻击者可以说服服务器建立与组织基础设施内的内部专用服务的连接。它还可以强制服务器连接到外部系统，从而暴露凭证等敏感数据。

在我们的SSRF详细指南中了解更多信息

3.XXE

XML 外部实体注入 (XXE) 是一种 Web 安全漏洞，允许攻击者利用应用程序处理 XML 数据的方式来危害应用程序。在大多数 XXE 攻击中，攻击者可以查看应用程序服务器文件系统上的文件，并与应用程序本身有权访问的后端或外部系统进行交互。

在某些情况下，攻击者可以利用 XXE 漏洞发起服务器端请求伪造（SSRF）攻击，从而损害底层服务器或其他后端基础设施。

在我们的XXE详细指南中了解更多信息

4.跨站脚本攻击

跨站点脚本（也称为 XSS）是一种 Web 安全漏洞，可能会危及用户与易受攻击的应用程序的交互。它允许攻击者绕过旨在隔离来自不同网站的命令的同源策略。 

XSS 漏洞允许攻击者冒充应用程序的用户，执行该用户拥有权限的任何操作，并获取对用户数据的访问权限。如果受害者的用户具有应用程序的管理访问权限，XSS 就会导致应用程序及其数据的完全泄露。

5. 代码注入

代码注入是攻击的通用术语，攻击者注入被应用程序接受为良性输入并由应用程序解释或执行的代码，但实际上包含恶意指令。 

此类攻击利用应用程序中不可信数据的不正确验证。常见的代码注入类型包括命令注入、SQL注入和PHP注入。

6.命令注入

命令注入是一种旨在通过易受攻击的应用程序在主机操作系统上执行任意命令的攻击。当应用程序将不安全的用户提供的数据（例如表单、cookie 或 HTTP 标头）传递到系统 shell 时，可能会发生命令注入攻击。 

在命令注入攻击中，攻击者提供的操作系统命令通常以易受攻击的应用程序的权限执行。命令注入攻击是由于输入验证不足引起的。

7. SQL注入

SQL 注入是攻击者通过将恶意代码字符串附加到数据库查询来获取对 Web 应用程序数据库的未经授权的访问的技术。

攻击者操纵 SQL 代码来提供对敏感数据等受保护资源的访问并执行恶意 SQL 语句。正确执行的 SQL 注入可能会暴露知识产权、客户数据或私人公司管理员凭据。大多数技术使用命令字符来切换 SQL 查询的上下文，以对数据库执行意外操作。

SQL注入攻击可以针对任何使用SQL数据库的应用程序，而网站是最常见的攻击目标。常见的SQL数据库包括MySQL、Oracle和SQL Server。随着 NoSQL 数据库的出现，攻击者发现了类似的技术来执行 NoSQL 注入。

8. 远程代码执行

远程代码执行 (RCE) 允许攻击者在计算机上远程执行恶意代码。此漏洞允许攻击者利用运行应用程序的用户的权限完全控制受影响的系统。获得系统访问权限后，攻击者经常尝试提升权限。 

此处列出的许多其他类型的攻击在某些情况下可能会导致 RCE，并且操作系统和应用程序中的一系列漏洞会导致 RCE。任何能够实现 RCE 的攻击或利用都被认为是非常严重的，并且可能会带来灾难性的后果。 

9. 凭证填充

凭证填充是指将窃取的凭证自动插入到网站登录表单中，以获得对用户帐户的未经授权的访问。

许多用户重复使用相同的密码和用户名对，因此，如果这些凭据在数据泄露或网络钓鱼攻击中暴露，攻击者就可以访问多个系统。攻击者试图向数百个网站提交相同的凭据，以获得对其他帐户的访问权限。 

撞库类似于暴力攻击，但它不是尝试随机字符串或常见密码字典，而是使用在以前的违规行为中获得的已知密码。

10.高级持续威胁

高级持续威胁 (APT) 是一个广泛的术语，用于描述入侵者或入侵者团队在网络上长期存在的攻击，通常目的是窃取敏感数据。

这些攻击的目标经过精心挑选和调查，通常涉及大型企业或政府网络。许多 APT 攻击者是有组织的网络犯罪团体的一部分，或者可能得到敌对民族国家的支持，这意味着他们拥有资源、技术和时间来进行高度复杂的攻击。

APT 攻击者可以使用多种方法渗透网络而不被发现。他们执行横向移动、提升权限并部署木马或 Rootkit 等恶意软件，从而获得持久控制。攻击者可能会在网络上停留数月或数年，不断窃取有价值的数据。 

11.供应链攻击

供应链攻击利用组织供应链中的薄弱环节。供应链是由参与产品创建和销售的所有个人、组织、资源、活动和技术组成的网络。供应链包括物料交付的各个方面，从供应商到制造商再到最终用户交付。 

在最近的几次攻击中，经验丰富的攻击者通过破坏全球数千个组织信任和部署的软件组件或系统，以软件供应链为目标。这使得组织必须仔细审查其供应商、第三方软件组件和 IT 系统的安全标准。

请参阅我们的供应链攻击详细指南了解更多信息

12. 缓存中毒

缓存中毒是一种网络攻击，攻击者将不正确的信息注入域名系统 (DNS) 或 Web 缓存以伤害用户。攻击者使用 Web 服务器和缓存将错误信息传播到 DNS 服务器或目标系统的缓存，目的是向用户传递恶意超文本传输​​协议 (HTTP) 响应。

通常，DNS 缓存中毒会将流量从合法网站转移到攻击者控制的恶意网站。这使得用户容易受到恶意软件感染和数据盗窃等风险的影响。 

13. HTTP 请求走私

HTTP 请求走私攻击利用两个 HTTP 服务器解析不符合 RFC 的 HTTP 请求的方式不一致。通常这些是后端服务器和支持 HTTP 的防火墙或代理。攻击者制作多个自定义 HTTP 请求，在看似良性的请求中隐藏或“走私”恶意请求。

通过 HTTP 走私漏洞，攻击者可以绕过安全措施、访问敏感信息并劫持用户会话。这种攻击还可能导致二次攻击，例如防火墙绕过、部分缓存中毒和跨站点脚本攻击 (XSS)。

14. LFI 和 RFI

本地文件包含 (LFI) 是一种 Web 漏洞，允许攻击者在易受攻击的网站或 Web 应用程序上运行或访问文件。这使得攻击者可以读取敏感文件、访问敏感信息并在后端服务器上执行任意命令。

远程文件包含 (RFI) 是通过利用应用程序中实施的易受攻击的包含文件包含过程来包含远程文件的过程。它与 LFI 不同，因为它允许攻击者从外部源执行恶意代码，而不是访问本地 Web 服务器上已有的文件。

在 RFI 攻击中，黑客使用许多 Web 框架中存在的动态文件包含功能来上传恶意外部文件或脚本。如果 Web 应用程序接受用户输入（例如 URL 和参数值）并将其传递到文件包含机制而没有进行适当的验证，则攻击者可以执行 RFI 来注入恶意脚本或可执行文件。

15. 伊多尔

当应用程序根据用户的自定义输入提供对对象的直接访问时，就会发生不安全的直接对象引用 (IDOR) 攻击。攻击者可以通过更改参数值以直接指向对象（可能是数据库条目或本地系统上的任何文件）来获得对资源的直接、未经授权的访问。 

这可以允许攻击者绕过身份验证并直接访问系统上的敏感资源，例如数据库记录和文件。 

请参阅我们的IDOR 漏洞详细指南了解更多信息

16. 云配置错误

安全配置错误在云环境中很常见。当安全设置未正确定义或使用不安全的默认值时，就会发生这种情况。一个简单的例子是包含敏感数据的云存储桶，该存储桶在没有身份验证的情况下暴露在互联网上。

大多数基于云的服务都可以安全地配置，但这需要云客户保持警惕。当用户设置云资源而没有正确保护它时，经常会发生配置错误，从而使其容易被攻击者利用。在其他情况下，云资源当时可能已得到适当的保护，但可能由于新的漏洞或云环境的变化而变得不安全。 

攻击者可以使用各种扫描工具轻松检测到配置错误的计算实例、存储桶、云数据库、容器或软件即服务 (SaaS) 应用程序（仅列出几种类型的云资源）。许多大规模、广为人知的违规行为都是由于组织未及时检测和修复的云配置错误造成的。这就提出了对云系统进行持续扫描和快速修复安全错误配置的需求。

在我们的安全错误配置详细指南中了解更多信息
 

如何防止网络安全攻击

渗透测试

渗透测试（笔测试）是针对计算机系统或网络的网络攻击的授权模拟。渗透测试旨在识别可利用的漏洞并检查组织的安全状况。道德黑客执行渗透测试，帮助组织主动发现并修复可能导致安全漏洞的关键漏洞。

持续应用程序测试：赏金计划和漏洞披露计划 (VDP)

VDP 鼓励第三方帮助组织发现安全漏洞。它为道德黑客、研究人员和其他人如何发现并向组织提交漏洞制定了明确的指导方针。这有助于保护组织免受公开已知漏洞的影响，并允许安全研究人员无需担心法律诉讼即可开展工作。 

在 VDP 中，组织偶尔可能会奖励研究人员，但没有有组织的补偿机制。相比之下，错误赏金计划是一个有组织的奖励系统，为发现和披露错误的道德黑客提供。赏金计划为每个发现的漏洞支付费用。错误赏金计划的道德参与者可以获得全职收入，组织可以根据需要打开和关闭计划。

创建网络安全意识培训计划

研究表明，承包商或员工可能会发起三分之二的可预防的内部威胁事件。组织可以通过创建网络安全意识培训计划来保护自己。它有助于识别有风险的员工行为，跟踪改进指标，并为员工提供安全第一文化所需的教育、技能和知识。

解决 OWASP 十大漏洞

开放 Web 应用程序安全项目 (OWASP) 是一个非营利组织，致力于帮助提高应用程序安全性，在其网站上提供免费且可信的知识库。OWASP 十大漏洞列表包括关键的 Web 应用程序漏洞。该列表根据需要进行修订和更新。它被全球公认为 Web 应用程序安全的重要最佳实践指南。

使用 CVE 数据库

常见漏洞和暴露 (CVE) 数据库提供了有关安全漏洞和暴露的公开披露信息的列表。它使各方能够轻松共享有关已知漏洞的信息，并利用最新的安全漏洞快速更新安全策略。CVE 为每个暴露或漏洞提供标准化标识符和名称/编号。每个标识符都提供对多个信息源中特定威胁的访问。  

监控第三方对您数据的访问

大多数组织允许第三方访问其数据。远程员工、业务供应商、供应商和分包商可以访问公司信息和资源来执行工作和开展业务。然而，第三方访问使组织面临各种内部威胁，例如恶意软件和凭据泄露。组织可以通过监控第三方活动并限制第三方用户访问范围来保护其信息。

备份您的数据

备份有助于保护您的数据。如果组织遇到数据泄露、丢失或中断，您可以从数据备份中恢复信息。您可以使用数据备份来恢复被覆盖的文件和恢复已删除的文件。如果勒索软件攻击针对您的组织，您可以使用备份副本而不是支付赎金。 
 

结论

在本文中，我们介绍了 16 种常见的网络安全攻击，包括：

• 数据泄露– 威胁行为者未经授权的访问和盗窃数据。
• 跨站点脚本 (XSS) – 允许攻击者冒充应用程序的用户并代表他们执行不需要的操作。
• SQL 注入– 涉及攻击者将恶意 SQL 查询注入用户输入。
• 高级持续威胁– 让攻击者能够持续访问受保护的网络或系统。
• 供应链攻击– 允许攻击者利用公司与其供应商或供应商之间的信任关系。
• 云配置错误– 涉及利用用户未正确保护的云系统。

为了保护您的组织免受这些和其他攻击，请结合使用内部保护措施和外部帮助。在内部，您应该围绕最佳实践协调开发人员、运营人员和安全团队，以防止 Web 应用程序和其他关键系统中的漏洞，审查第三方供应商关系，并确保您拥有可靠的备份策略。 

除此之外，让外部安全专家参与您的网络安全策略是一个好主意。渗透测试和错误赏金只是您利用道德黑客的才能来发现和解决最关键漏洞的两种方式。