一種有用的劃分安全攻擊的方法是使用被動攻擊和主動攻擊的劃分方法。
1.被動攻擊
被動攻擊的本質就是竊聽和監聽資料傳輸。攻擊者的目標是獲取傳輸的資料資訊。被動攻擊的兩種形式是訊息內容洩露攻擊和流量分析攻擊。**被動攻擊是非常難以檢測,因為它們沒有改變資料。**儘管如此,防範這些攻擊還是切實可行的,通常使用加密的方式來去實現。因此,對付被動攻擊的重點是防範而不是檢測。
1.1訊息內容洩露
這個我們很容易理解,**交談,電子郵件訊息和傳輸檔案中都有可能包含敏感或機密的資訊。我們需要阻止攻擊者獲取這些資訊。
1.2流量分析
流量分析攻擊更加的巧妙。
假設我們已經有一種方法可以掩蓋訊息內容或者其他資訊,確保攻擊者即使獲取資訊,他們也不能從中讀取有用的資訊,通常掩蓋資訊的方法是加密。
如果我們已經做了適當的保護,但攻擊者仍然可能觀察到這些資訊的模式。攻擊者可以得知其位置和身份,並且得到交換資訊的頻率和長度。對於猜測資訊的性質很有幫助。
2.主動攻擊
主動攻擊包含改寫資料流和錯誤資料流的新增,它可以劃分為4類:假冒、重放、改寫資訊和拒絕服務。
2.1假冒
即假冒身份,經過實體認證,得到一些許可權,進行許可權攻擊。
2.2重放
重放涉及被動獲取資料單元並按照它之前的順序重新傳輸,此外來產生乙個非授權的效應。
2.3改寫
是指合法訊息的某個部分被篡改,或者訊息被延遲,被重排,從而產生非授權效應
2.4拒絕服務
可以阻止或禁止對通訊裝置的正常使用和管理。這個攻擊可能有乙個特殊目標:比如乙個實體可能禁止把所有的訊息傳送到乙個特定的目的地;另一種拒絕服務的形式是對整個網路的破壞,是網路癱瘓或訊息過載從而喪失網路效能。
安全攻擊 webgoat課程筆記
重定向漏洞,需要有第二次請求,比如重定向302,第一次響應直接帶了第二次響應的資訊 在http拆分的第二次請求中增加last modified設定未來的日期,以騙取瀏覽器快取一直使用第二次響應的內容 發現路徑漏洞,在能傳遞路徑引數的頁面,通過.等相對路徑引數,得到原本沒有許可權訪問的路徑頁面響應返回...
Web安全攻擊XSS與CSRF攻擊簡述
摘要 公司要給近期專案檢測安全性,主要針對的是stored xss攻擊方式,借這次就在這裡好好總結一下,什麼是xss攻擊,為什麼會出現xss攻擊,xss攻擊有哪些種類,xss攻擊有什麼危害,以及cfrs攻擊。什麼是xss攻擊 xss攻擊全稱cross site scripting即跨站指令碼攻擊,這...
安全攻擊溯源思路及案例
在攻防的視角裡,進攻方會佔據比較多的主動性,而防守方則略顯被動,因為作為防守方,你永遠也不知道攻擊會在什麼時候發生。你所能做的是,做好自己該做的一切,準備好自己該準備的一切,耐心等待對手犯錯的機會。在發現有入侵者後,快速由守轉攻,進行精準地溯源反制,收集攻擊路徑和攻擊者身份資訊,勾勒出完整的攻擊者畫...