网络攻击：是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可控性、真实性、抗抵赖性等受到不同程度的破坏。

常见的危害行为有四个基本类型：信息泄露攻击；完整性破坏攻击；拒绝服务攻击；非法使用攻击。

网络攻击原理表

隐蔽+攻击

(1) 隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。

(2) 收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。

(3) 挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。

(4) 获取目标访问权限。获取目标系统的普通或特权账户的权限。

(5) 隐蔽攻击行为。隐蔽在目标系统中的操作，防止入侵行为被发现。

(6) 实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。

(7) 开辟后门。在目标系统中开辟后门，方便以后入侵。

(8) 清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。

防火墙设置 禁用未使用的端口：关闭不需要使用的端口，减少攻击者进行扫描的目标。 强密码策略 网络入侵检测系统（IDS） 网络监控 限制登录尝试次数 安全培训 使用安全扫描工具 多重身份验证

端口扫描：目的是找出目标系统上提供的服务列表。挨个尝试与TCP/UDP端口连接，然后根据端口与服务的对应关系，结合服务器端的反映推断目标系统上是否运行了某项服务，攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。

使用强密码策略 定期修改密码 禁用默认密码 使用多因素身份验证：例如使用令牌、指纹、短信验证码等。即使密码被破解，攻击者仍然需要其他因素才能成功登录。 防止暴力破解：通过配置登录尝试限制次数来防止暴力破解。例如，如果用户多次尝试登录失败，可以暂时锁定账户或延迟登录尝试时间。 使用账户锁定机制：在多次登录失败后，自动锁定用户账户，以防止攻击者尝试进行暴力破解。 安全培训 使用加密技术：存储用户密码时，采用安全的加密算法，确保密码不能通过恢复或解密的方式来得到明文。 监控和检测：使用安全监测和日志分析工具来监控用户登录活动，并检测异常行为，如多次登录失败或大量登录尝试等。

口令破解：口令机制是资源访问控制的第一道屏障，网络攻击者常常以破解用户的弱口令作为突破口，获取系统的访问权限。

缓冲区溢出攻击的基本原理是向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其他正常的程序或数据，然后让计算机转去运行这行预设的程序，达到执行非法操作、实现攻击的目的。

安装并定期更新杀毒软件和防恶意软件工具；不下载来路不明的文件；不打开来自不信任来源的电子邮件或链接。

恶意代码是指为达到恶意目的而专门设计的程序或代码，是指一切旨在破坏计算机或者网络系统可靠性、可用性、安全性和数据完整性或者损耗系统资源的恶意程序。常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。

使用DDoS保护服务（如：入侵防御设备），以过滤和缓解恶意流量。 高配置的网络基础设施以承受高流量压力。

DoS攻击方式

警惕电子邮件或链接中的不寻常或拼写错误，不提供敏感信息，除非能够验证请求的真实性。

网络钓鱼（Phishing，与fishing发音相近得名）是一种通过假冒可信方（知名银行、在线零售商和信用卡公司等可信的品牌）提供网上服务，以欺骗手段获取敏感个人信息（如口令、信用卡详细信息等）的攻击方式。网络钓鱼者利用欺骗性的电子邮件和伪造的网站来进行诈骗活动，诱骗访问者提供一些个人信息，以谋求不正常的利益。

使用加密通信协议，如HTTPS，以保护数据传输的机密性；避免使用公共或不受信任的Wi-Fi网络进行敏感操作。

网络窃听：是指利用网络通信技术缺陷，使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。网络攻击者将主机网络接口的方式设成“杂乱”模式，就可以接收整个网络上的信息包，从而可以获取敏感口令，甚至将其重组，还原为用户传递的文件。---杂乱，可理解为在以太网中使用“广播”地址，使得主机能接收网络中其他主机发送的信息包

定期进行应用程序漏洞扫描和渗透测试；使用安全编码实践，对应用程序进行安全审计

SQL注入攻击：在Web服务中，一般采用三层架构模式，浏览器+Web服务器+数据库。其中，WEB脚本程序负责处理来自浏览器端提交的新东西。但是由于WEB脚本程序的编程漏洞，对来自浏览器端的信息缺少输入安全合法性检查，网络攻击者利用这个漏洞，把SQL命令插入WEB表单的输入域或页面的请求查找字符串，欺骗服务器执行恶意的SQL命令。---在浏览器总输入信息（比如用户名和密码），浏览器本身是不会进行安全合法性检查的，他会提交给后台，这里就存在SQL注入漏洞

1、社交业务安全防护 2、加强员工的网络安全意识培训；设定组织内部规则，限制敏感信息的外部共享。

社交工程：网络攻击者通过一系列的社交活动，获取需要的信息。例如伪造系统管理员的身份，给特定的用户发电子邮件骗取他的密码口令。有的攻击者会给用户送免费实用程序，不过该程序除了完成用户所需的功能外，还隐藏了一个将用户的计算机信息发送给攻击者的功能。

电子监听：网络攻击者采用电子设备远距离地监视电磁波的传送过程。灵敏的无线电接受装置能够在远处看到计算机操作者输入的字符或屏幕显示的内容。

漏洞扫描：是一种自动检测远程或本地主机安全漏洞的软件，通过漏洞扫描器可以自动发现系统的安全漏洞。常见的漏洞扫描技术有CCI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。

实施最小权限原则，仅授予必要的访问权限。建立审计机制，监控员工活动

员工、合作伙伴或供应商滥用权限

使用加密技术来保护数据传输和存储；实施访问控制，限制对敏感数据的访问权限。

敏感信息被盗取并泄露

1、添加验证码 2、访问频率控制 3、异地登录限制 4、其它多因素认证 5、账号验证相关接口特殊处理，如nginx直接返回相同值 6、恶意用户识别 7、渗透测试 8、增加限制策略，如限制同一IP地址或手机号的注册/登录/找回密码操作数量、限制操作时间间隔等，自动或人工识别异常行为进行拦截

登录

注册

找回密码

聊天

电话

加好友

定位

订单金额、数量数据篡改，0元购

利用鉴权、越权漏洞，通过接口篡改用户数据、模拟用户行为等

项目使用的框架、组件漏洞被利用

sql注入

明文传输

后台管理接口未授权访问

流量

用户资产【积分、个性装扮等】

文件上传功能