常见网络攻击方式02

1、DNS欺骗
攻击者把自己伪装为DNS服务器,在用户解析IP的时候,解析到恶意网站,或者钓鱼网站
其实,现实中不少用户都受到过此类攻击

2、DNS缓存污染
攻击本地DNS缓存,达到访问伪装网站的目的

3、最终极的,还有DNS根服务器攻击:
由于DNS的根服务器都在国外(美国、英国、瑞典、日本),所以其实各国都有一些应对方案

4、ARP欺骗
在局域网下,还有可能遇IP地址欺骗,就是伪装为可信IP,麻痹被攻击者

5、MAC泛洪攻击
在局域网下,伪造大量的MAC地址数据帧,把交换机的MAC地址标撑爆,导致交换机无法正确按端口进行数据转发,必须进行数据广播
攻击者通过网络嗅探等方式,获取敏感信息

6、VLAN跳跃攻击
利用VLAN的配置漏洞,精心构造网络包,达到穿透VLAN通讯,获取其他VLAN信息的效果

7、SSL劫持
利用中间人攻击方式,分别与上下游通讯节点建立加密连接,进行数据转发的同时,获取明文通讯信息

8、流量劫持(网络端)
域名劫持:篡改DNS解析记录,比如上面的DNS缓存污染
BGP劫持:攻击者通过操纵边界网关协议(BGP)来劫持网络流量,引导流量通过恶意路径

9、证书欺骗
攻击者把自己伪装为CA厂商,把自己伪装为加密网站,欺骗性很强
这种攻击前几年还真出现过,危害不小

10、拒绝服务攻击DoS
精心构造网络包,把服务器拖垮,服务器没有额外资源处理正常请求,对外表现为拒绝服务

SYN洪水攻击:利用TCP握手机制,构造大量SYN包,耗尽服务器TCP连接资源,达到拒绝服务的攻击目的
ICMP洪水攻击:伪造大量ICMP包,比如ping包,耗尽服务器资源,达到拒绝服务的攻击目的
UDP洪水攻击:伪造大量UDP包,带有不同的IP地址,耗尽服务器资源,达到拒绝服务的攻击目的

11、分布式拒绝服务攻击DDoS
利用上面说的肉鸡或僵尸网络,架设攻击软件,对一些网站拼命发起请求,让网站访问量剧增,资源耗尽,最后导致系统崩溃,无法继续提供服务
在云厂商推广期间,更有甚者批量注册大量云服务器,发起DDoS攻击,你能信
现在,由于IoT设备的剧增,但安全防护短期内又跟不上,有些攻击者就利用这些IoT设备,构建了僵尸网络,专门进行DDoS攻击

12、低速率拒绝服务攻击(LDoS)
现在各大云厂商都有自己的DDoS防火墙,让DDoS攻击效果大打折扣
通过周期性地发送大量数据包,利用网络协议的漏洞来降低被攻击端的服务性能

13、嗅探攻击
潜伏在网络中,做一个安静的嗅探器
抓取网络中全部数据,有针对的获取有价值数据
随着加密通信的加强,越来越难了
但就算是网络流量的大小,有时候也是机密

14、重放攻击
作为A和B的中间人,收到A的消息后,篡改,然后给到B
随着加密通信的加强,越来越难了

安全开发是如何执行的

谈到安全开发,咱们就要先明确一个问题,安全开发的目的是什么呢?

所有做过开发的小伙伴,一定会有一个概念,一个程序的逻辑Bug,一定越早发现,损失越小。
如果能在需求阶段,发现并解决这个Bug,损失可以是最小的。

安全开发也是这样,希望达到的目的就是:
安全风险左移,早发现,早管理,持续改进

在安全开发上面,其实有一些现成的框架可以遵循,比如SSDLC(适合迭代式开发)、DevSecOps(适合DevOps式开发)等。

本文就说一下,我们的SSDLC是如何执行的。

当前,在能执行之前,需要进行相关的建设,包括:
明确安全风险,明确安全基线,指定安全策略,进行安全教育,部署安全工具,进行相关培训等等。
这个每个公司差异比较大,选择的组件和厂商也大不相同,就不详细描述了。
我们重点说一下,一个安全相关的需求,是如何落地的。

1、安全需求
1.1安全需求识别
组织应该达成一个共识,哪些需求比如过安全评审,比如:
a、任何账号、密码相关的
注册、登录、密码验证、验证码、密码修改、账号注销等等
b、任何用户可以发布信息的
留言、灌水、内容发布、即时通讯、提交信息并展示
c、任何上传和下载的
d、任何交易相关的
大促、活动、秒杀、刷单、刷票、业务风险响应
e、任何钱相关的
积分、交易、资金往来、营销、相关接口
f、涉及SQL编写的
g、任何敏感信息存储或展示的
购买、支付、个人信息查询、添加删除信息、充值密码
移动端图片保存、人脸识别、手势密码
h、任何证书相关的
i、任何访问控制相关的
前后端访问控制、系统对接、日志、短信、邮件
j、任何批量操作相关的
查询、导入、导出
k、合规安全相关
隐私政策、个人信息采集、敏感信息传输、生物特征识别、账号注销
等等。
1.2安全需求强制纳入安全评审,安全管理人员可以指定其他需求进入安全评审、
1.3安全小组对需求进行评审,判定是否可以继续推进

2、安全设计
2.1设计人员给出方案
2.2安全小组评审设计方案,判定是否可以继续推进
2.3测试同学,同步书安全测试用例
2.4安全小组评审设测试用例,判定是否可以继续推进

3、安全开发
3.1、开发同学IDE安装好安全组件,组件可规范编码,并进行静态扫描,及时发现代码问题
3.2、开发同学自测后,提交代码库
3.3、开发同学在测试环境,运行流水线
3.4、流水线自动混淆、编译、加固、打包、部署,同步进行各类扫描,包括:黑盒、白盒、组件、镜像、隐私检测等
3.5、流水线给出相关漏洞
3.6、开发同学修复漏洞

4、安全测试
4.1、测试同学进行功能验证
4.2、测试同学进行安全验证:渗透、越权等
4.3、测试同学进行性能验证
4.4、验证通过后,提交相关报告

5、安全验证
5.1、此时可以进行UAT验证
5.2、在版本库相同的情况下,开发同学将代码发布到UAT环境
5.3、流水线门禁根据规则判定,是否可以发布
5.4、测试同学初步验证
5.5、用户验证

6、安全部署
6.1、此时可以把代码部署到生产环境

当然,上面的开发流程,只是整个安全开发体系中的一环。
实施安全开发流程,需要庞大的前期资源投入,以及渡过一个较长的不断改进的过程。

AI编程的现状

1,当前AI可大幅提升代码片段效率
当前的AI辅助工具,在通用代码片段上的效率,已经高过大多数程序员了。
比如让AI去写一个通用算法片段,其速度甚至质量可以吊打多数的程序员。
虽然很多通用代码片段都有现成的库可以参考,甚至可以直接调用,但自动输出一个良好的demo也能节约大量的搜索排错的时间,大幅提升开发效率。

2,当前AI可大幅提升学习速度
在进入一个新的技术领域时,AI可大幅降低程序员的学习成本。
一个AI生成的demo,稍微调整一下就能运行了。
所以有种可能,就是程序员会更加的全栈化。

3,当前AI有待进步
但如果是一个复杂的需求,尤其是需求需要建立在对一个项目前期需求理解之上时,现在的AI还是不够强大。
也就是有些人说的,AI很傻。

而且当前的软件项目结构,更适合人,而不是AI。
更小的代码片段,更小的项目拆分,对当前水平的AI会更友好。但对人来说并不一定。

4,近期AI会让编程技能更加工具化
比如一个做统计分析的人,用R或Python做统计,学习成本会下降一个数量级。
熟练的用函数,很难成为核心优势。

5,AI的进一步发展,会促使开发人员分级
善用工具的,会越来越强大
反之,会被迫与“被AI武装的外行人”竞争的囧境

6,AI的进一步发展,会让懂业务的人更强大
开发人员必须向上游靠拢,更深入的理解业务,才能有更好的发展。
纯拼技能熟练的时代,可能要结束了。

什么是SSDLC

SSDLC(Secure Software Development Life Cycle,安全软件开发生命周期)是一个软件开发框架,它将安全考虑和实践集成到传统的软件开发生命周期(SDLC)的每个阶段。SSDLC的目标是减少软件中的安全漏洞,提高软件产品的安全性,确保从设计到部署的每个步骤都考虑到安全因素。

SSDLC 的主要阶段通常包括:
1、 初始化:确定安全策略和目标,定义项目范围和安全要求。
2、 架构设计:设计软件的安全性,包括威胁建模和风险评估。
3、 详细设计:开发软件的详细设计,包括安全控制和机制。
4、 实现/编码:编写安全的代码,并遵循安全编码标准和最佳实践。
5、 测试:进行安全测试,包括静态代码分析、动态代码分析和渗透测试。
6、 部署:安全地部署软件到生产环境,并确保部署过程本身的安全性。
7、 维护:在软件的整个生命周期内进行持续的安全监控、漏洞管理和补丁应用。

如何实施 SSDLC:

1、 建立安全策略:
定义组织的安全政策和程序,确保它们与SSDLC流程一致。

2、 安全培训:
对开发团队进行安全意识和安全技能的培训。

3、 威胁建模:
在设计阶段使用威胁建模来识别潜在的安全威胁和漏洞。

4、 安全需求分析:
确定软件的安全需求,并将其纳入项目的需求规格中。

5、 安全架构和设计:
设计软件架构以包含安全控制,如身份验证、授权、数据加密等。

6、 安全编码:
遵循安全编码标准和最佳实践,减少安全漏洞。

7、 代码审查和静态分析:
通过代码审查和自动化工具检测代码中的安全问题。

8、 动态分析和测试:
进行动态安全测试,如渗透测试,以发现运行时的安全问题。

9、 安全部署:
确保部署过程安全,包括使用安全的配置和补丁管理。

10、 监控和响应:
实施监控机制来检测和响应安全事件。

11、 持续改进:
根据反馈和安全测试结果,不断改进SSDLC流程。

12、 合规性检查:
确保软件的开发和部署符合相关的法律法规和行业标准。

13、 文档和审计:
记录安全活动和决策,以便于审计和未来的回顾。

实施SSDLC需要组织层面的承诺和支持,以及跨部门的协作。通过在软件开发的每个阶段都集成安全措施,可以有效地减少软件中的安全漏洞,提高整体的安全性。

常见社会工程学攻击方式

1、钓鱼攻击
攻击者通过伪造看似来自受信任来源的电子邮件、短信或电话,诱骗用户点击恶意链接、下载恶意软件或泄露个人信息。例如,假冒银行或电商网站发送验证信息的邮件,要求用户点击链接进行账户验证

克隆网站攻击:攻击者创建与真实网站相似的假冒网站,以诱导用户泄露信息
短信钓鱼:攻击者构造中奖、促销等短信,以诱导用户泄露信息
鱼叉式攻击:攻击者针对特定目标进行定制化的钓鱼攻击
捕鲸攻击:针对高级管理人员的钓鱼攻击,目的是获取更高级别的访问权限
水坑攻击:研究攻击对象,找到最常访问的网站,攻陷该网站,从而达到攻击受害者的目的

2、伪装身份
攻击者通过伪造身份,冒充公司高管、技术支持人员或朋友,获取用户的信任并诱骗其泄露敏感信息。这种攻击方式在社交网络和即时通讯工具中尤为常见

身份假冒:在社交软件上,假冒高管,达到攻击目的
尾随攻击:攻击者通过在社交媒体上建立信任关系,然后利用这种关系进行攻击
三角诈骗:攻击者通过操纵多个受害者来达到最终的攻击目标
浪漫诈骗:攻击者通过建立虚假的浪漫关系来诱导受害者提供财务信息或其他敏感数据
深度伪造(Deepfake):利用人工智能生成的伪造视频或音频,用于误导或欺诈

3、紧急感诱导
利用用户的紧急心理,如账户被盗、密码泄露等紧急情况,诱骗用户迅速采取行动,如重置密码、转账等。攻击者常常通过制造紧迫的氛围来增加攻击的成功率

技术支持诈骗:攻击者冒充技术支持人员来诱导用户提供访问权限
疫苗接种攻击:攻击者通过提供虚假的安全建议或解决方案来诱导用户执行恶意操作
预载攻击:攻击者通过提供恶意软件的预加载版本来诱导用户下载

4、物理接触
除了线上攻击外,社会工程学还涉及物理接触。攻击者可能通过面对面的方式,如假冒维修人员、快递员等,接近目标并获取敏感信息或执行恶意操作

电视盒子:攻击者通过售卖甚至上门安装有恶意软件的电视盒子(或类似设备),达到攻击目的
面试攻击:通过高薪岗位,让竞对参加面试,获取相关信息
生物识别数据攻击:针对生物识别数据(如指纹、面部识别、虹膜扫描)的攻击

5、尾随攻击
攻击者跟随一个授权用户,在其刷卡或授权进入一个受限制的物理区域时尾随进入。由于人们通常不愿意在门口停留避免妨碍他人,攻击者可趁机一起进入受限区域

逻辑尾随:攻击者尝试通过建立信任关系或模仿其他用户的行为,来获得对系统或数据的访问权限

6、虚假新闻传播
灌水攻击:通过水军,伪造和散布虚假信息,引发客户群体兴奋或群体恐慌,达到攻击的目的

7、身份盗取
攻破受害方的社交账号,冒充受害方在社交媒体上进行活动,达到攻击的目的
比如:发送钓鱼信息,发送恶意言论等

8、云账号劫持
攻击者获取受害方的云账号访问权限,达到攻击的目的

常见硬件攻击方式

1、设备欺骗
WiFi欺骗,攻击者通过设置假冒的WiFi热点,诱使用户连接,从而截获数据
基站欺骗,和上面方式比较一致,只不过是冒充手机的基站
蓝牙攻击,利用蓝牙设备的漏洞,攻击者可以截获通信、传播恶意软件或接管设备

2、信号干扰
通过信号干扰, 进行攻击,比如:
无线电频率(RF)攻击,可以截断基站、wifi、蓝牙、RFID等
电力线通信(PLC)攻击,可截断通过电线进行数据传输的系统,比如电力猫等
卫星通信攻击,针对卫星通信系统的攻击,可能干扰或截获卫星传输的数据
声波攻击,利用声音信号干扰或窃取数据,例如通过扬声器或麦克风进行的攻击
光注入攻击,通过向设备的光学传感器(如摄像头)注入光信号,可能干扰设备操作或进行数据窃取。

3、硬件攻击
固件攻击,攻击者通过篡改设备的固件来控制设备或窃取数据
硬件木马,在硬件制造过程中植入的恶意组件,用于长期潜伏和数据窃取,比如海湾战争中的打印机芯片病毒,让伊拉克军队瞬间崩溃
芯片攻击:据传某CPU厂商和某网络厂商,其实都有后门的,所以一直在推广国有化制造
设备加装,通过加装设备,达到数据窃取或数据欺骗的目的
物联网(IoT)攻击,物联网设备通常安全性较差,易于被攻击者利用
车联网(V2X)攻击:针对车联网技术的攻击,可能危及车辆控制或乘客安全

4、移动设备攻击
随着智能手机和平板电脑的普及,针对移动操作系统的攻击也越来越常见
比如:
在移动商店,上架有恶意代码的APP,达到窃取用户信息的目的
引导被攻击者安装,未上架的,有恶意代码的APP
利用越狱或ROOT后的系统漏洞,对受害者进行攻击
利用设备后门进行攻击,一些专用设备可以快速复制指定iPhone中的数据

5、网络设备攻击
把网络设备(无论是路由器、交换机还是基站)拿下,攻击者的收益是很显著的

6、默认设置攻击
不少硬件设备,有一些默认设置,很容易被攻击者使用
比如一些较老的家用路由器,默认用户名密码,很多家庭从来不改,一分钟被攻破

7、侧信道攻击
通过一些非常规数据传输手段,来获取敏感信息
比如:喇叭声音、指示灯、磁盘声音等
有时候,系统功耗、处理时间也有很高的价值

8、真物理攻击
通过物理方式进行破坏
这种攻击方式,比实际大家听到的多得多,不只是挖断光缆这么简单
所以就有专门的硬件加固来进行应对

冷启动攻击:关机,拿走硬盘,复制信息

常见软件攻击方式

1、漏洞攻击
无论是操作系统、中间件还是应用软件,一定都存在漏洞
如果防守方没有及时升级打补丁,就容易被攻击
在爆出漏洞到漏洞补丁推出,到漏洞被修复,这之间有个时间差
在这个时间差之内,利用该类漏洞进行攻击,被大家成为0day攻击

2、逆向工程攻击
攻击者通过分析软件的内部结构,寻找漏洞或破解软件的保护机制
比如:虚拟脱壳、动态调试等
当然,业界也有成俗对抗手段,加壳、混淆、反调试、加密狗等

3、缓冲区溢出攻击
通过向程序的缓冲区写入超出其长度的内容,破坏程序的堆栈,使程序转而执行攻击者预设的指令
内核和一些应用软件都曾出现类似漏洞

4、反序列化漏洞攻击
利用现代编程序列化、反序列化的能力,精心构造序列化对象,发送到服务端
服务端反序列化后,执行反序列化后代码,触发恶意代码

5、文件包含漏洞攻击
一些脚本化的编程语言,比如PHP,如果没有做好正确的设置
攻击者就可以通过语言中的,文件包含函数(比如include),读取到服务器上受限制的文件信息,达到攻击目的

6、组件攻击
通过软件引用的开源组件漏洞,进行攻击
比如之前发生的Log4j2漏洞,还有swag ui配置错误

7、开源攻击
在开源库中,注入恶意代码
比较出名的包括明尼苏达大学学生向Linux内核源码提交恶意代码,东窗事发后,整个学校被禁止提交Linux源码

8、逻辑炸弹
即使是闭源软件,也有被嵌入恶意代码的情况,当满足特定条件时会自动执行恶意操作
比如,某银行程序员,设置当自己的账号被禁用三个月后,会诱发恶意代码,批量删除数据

9、供应链攻击
软件开发到上线,是一个长长的供应链,包括开源组件引入,外部组件采购,镜像构建等等很多环节
攻击者只需要攻破整个供应链中的某个环节,就可以将恶意软件或漏洞被包含在最终软件中

10、逃逸攻击
包括沙箱逃逸、容器逃逸等,虚拟机逃逸
比如:通过容器逃逸,获取宿主机的访问权限

11、大模型投毒统计
通过在训练数据中植入恶意样本、具有误导性标签或特征的数据,扭曲模型的学习过程,导致模型偏离真实数据的表征。
被攻击后,模型在预测时,会产生错误结果。
导致给出令人不悦的反馈,甚至引导给出错误决策。

常见网络攻击方式01

1、SQL注入
对于存在漏洞的网站,精心构建网页提交参数,参数中附带恶意攻击的SQL语句
网站服务器代码,并没有主动过滤这些恶意代码,就会导致攻击者的SQL语句被执行
比如:

--原始语句拼接:
select * from tableA where uid='传入参数'
--把参数设计为:
a'; delete * from tableA; '
--直接替换后就成为:
select * from tableA where uid='a'; delete * from tableA; ''
--这张表的数据就没了

2、跨站脚本攻击XSS
攻击者在网页中注入恶意脚本,当其他用户浏览该网页时,恶意脚本就会在用户的浏览器上执行
包括:反射型XSS、存储型XSS、DOM型XSS、其他XSS
比如:反射型XSS,攻击者在网站A中,放入精心构造的网站B的URL,但这个URL中包含恶意脚本
用户点击这个URL时,恶意脚本会被一同发送到网站B,然后反射到用户浏览器,被用户浏览器执行
从而达到盗取信息、劫持等目的

3、跨站请求伪造CSRF
比如:被攻击者已经登录了网站A,并保留有登录信息
攻击者诱导被攻击者访问网站B,利用网站A的登录信息,向网站A发送精心构造的请求,比如转账请求
网站A收到请求后,判定登录信息有效,执行了转账,后果可想而知

4、XML External Entity攻击XXE
对于一些老旧的网站,上传精心构造的XML,利用XML解析器配置不当,可以执行XML的DTD中的指令
这样再访问这个被上传的XML,就能看到指令的执行结果

5、服务器端请求伪造SSRF
利用服务器端之间的信任,精心构造请求,绕过服务器限制,达到攻击目的
比如攻击者希望获取A网站的一张保密的图片,但没有权限
攻击者又发现B网站与A网站之间有更高的信任关系,而且B网站的留言功能,会主动缓存一些URL的图片资源
攻击者在B网站留言板,输入A网站的图片地址,过几分钟一刷新
B网站已将A网站的图片进行了缓存,攻击者就获取到了这张图片,绕过了A网站的限制

6、JSONP攻击
JSONP技术多用于跨域获取数据,并执行回调,如果没有做好限制,容易被攻击者利用
比如攻击者在网站A上构造一个精心的URL,这个URL指向网站B,同时带有一个回调函数
如果没有防护,网站B会按请求内容进行响应,然后返回数据,被攻击者的浏览器会自动执行回调函数
攻击者可以利用这个回调函数,达到获取信息等非法目的

7、越权攻击
攻击者通过构造访问URL,尝试获取超出账号的权限
传统Web服务,很多页面都可以被越权攻击,甚至访问到管理员页面
包括水平越权和垂直越权
比如一个账户,原本只能看到一个商品的销售信息,但在URL中,通过枚举商品ID,居然可以访问到所有商品销售信息

8、扫描攻击
利用漏洞、弱口令、端口扫描工具,对网络中主机进行批量扫描,根据扫描结果一一攻破,然后偷偷上传木马等控制软件
很多肉鸡就是这样被制造出来的

9、目录遍历
如果网站没有限制不可枚举目录,其实风险是很高的
无论是看到网站源码、配置文件、还是日志,都有可能暴露出新的被攻击点

10、漏洞攻击
利用主机、中间件、各类组件现有的漏洞,然后进行利用

11、零日漏洞攻击
任何软件,在爆出漏洞到漏洞补丁推出,到漏洞被修复,这之间有个时间差
在这个时间差之内,利用该类漏洞进行攻击,被大家成为0day攻击

12、命令注入
有些网站,有命令执行的功能
这样,攻击者可以通过精心构造的请求,将想要执行的脚本,嵌入到请求中
最终达到在服务端执行命令,并返回结果的目的

13、文件上传
有些网站,没有做好上传文件的限制
攻击者甚至可以上传shell脚本
结合上面的命令注入,后果可想而知

14、恶意文件
通过宏、代码嵌入等方式,达到执行恶意代码的目的
比如N年前常见的office宏攻击或VBA攻击,下载一个文件就中招了
还有精心构造的图标、后缀、压缩包,也能达到麻痹被攻击者,执行恶意代码的目的

15、蠕虫病毒攻击
通过系统或某些软件漏洞,自动攻击主机或网络设备,复制,潜伏,然后继续攻击其他电脑
这样也能抓到不少肉鸡
但蠕虫传播很快,肉鸡多了,就成了僵尸网络

16、木马攻击
通过各类攻击手段,在被攻击方的电脑上,安装一个小程序
这个小程序被成为特洛伊木马,会隐藏自己,好一些的在任务管理器都找不到,更厉害的可以获取比内核还高一些的权限
然后攻击者,通过这个木马,获取被攻击者的信息,甚至对电脑进行完全控制
比特币价格好的时候,有人还用攻击的到的电脑挖矿,你能信。。。

17、勒索软件
加密算法的发明人,应该也没想到,自己发明的算法,会被用来开发这类软件
和蠕虫拼命扩散资深、木马拼命隐藏资深,并不一样
勒索软件会在后台,拼命扫描你的各类重要文档(包括数据库文件),然后进行加密
加密之后,会告诉被攻击者:你的资料都被加密了,想要吗?那就给指定地址打几个比特币
然后就会再解密
如果不支付,也可能会被撕票。。。
由于密钥长度一般很长,所以解密几乎不可能,要么交赎金,要么抓到幕后的攻击者

18、钓鱼邮件
将攻击代码或攻击软件,伪装为压缩包等方式,通过邮件,大规模发送给被攻击客户
当客户防护意识不够强的时候,误点了这些代码
就相当于自己安装了木马,或者蠕虫
这些软件既可以从你电脑中偷取资料,严重的时候会让电脑成为肉鸡

19、钓鱼网站
通过伪造网站,让用户误以为自己在官网
填写自己的用户名、密码、严重码信息
殊不知别人在真正的官网,通过这些信息登录成功
已经盗取了你的账号、你的信息、你的金钱

20、会话劫持
被攻击者登录成功后,获取被攻击者的会话识别信息
利用会话预测或会话固定技术,模拟客户,接管会话
客户和网站可能都不知道被劫持了

凭证填充:通过获取的凭证,可以尝试该网站各服务接口,尝试获取有价值的信息

21、邮件轰炸
通过软件,对指定邮箱,发送大量垃圾邮件
随着各类垃圾邮件过滤算法的提升,越来越难了

22、暴力破解
包括密码爆破、验证码爆破、目录爆破等
通过常用弱密码字典、被脱库的第三方密码库,构造程序,不断尝试自动登录
现在这种攻击基本都会被防护,密码错几次后就24小时后才能重试
但被脱库的第三方密码库,还是危害很大的
要定期改密码

23、密码攻击
除了密码爆破(字典、枚举),还有一些常用的手段
彩虹表攻击:通过已知的hash值,倒退密码,如果不加盐,还是很容易被攻破的
密码喷洒:通过一个防护薄弱的网站,获取被攻击者的密码,用这个密码,尝试各大网站

24、流量劫持(主机端)
浏览器劫持:通过改变用户的浏览器设置,如默认搜索引擎和主页,来重定向用户到特定的网站
数据劫持:篡改HTTP页面,注入广告或非法内容,包括HTTP头注入和HTTP内容注入

25、网站劫持
网站被攻破后,上传恶意页面,从而可以
a、页面植入
一般用户是不知道,他们看到的一个页面,可能是由n个页面组成的
在一个可信网站下,嵌入一个带有攻击目的的页面
诱导客户输入敏感信息,进而达到攻击者目的
b、点击劫持
通过视觉欺骗手段隐藏恶意链接,诱使用户进行错误点击
c、网站嵌入
嵌入各类不法网站
d、HTTPS欺骗
在安全网站中,嵌入不安全内容,欺骗客户
e、恶意下载
诱导客户下载恶意程序

26、配置错误攻击
配置错误,比大家认为的多很多,比如:
报错时,debug信息直接throw到页面上
spring boot可以通过env直接把配置信息展示到页面上
swagger ui可以不授权访问
redis等中间件没有设置访问限制
容器部署的时候,没有修改默认管理页面的密码
各类密钥,直接上传到代码库
打Jar包的时候,加入了混淆防护,但Source却包一起上传了maven库
生产环境和测试环境混用,导致删了生产数据
买了防火墙,但网络流量不经过防火墙,你能信?

27、逻辑漏洞攻击
这类攻击也很多,比如:
折扣券可以多次消费
通过带一些参数,直接获得更高的折扣
通过带一些参数,可以直接获得任意用户访问的权限
通过带一些参数,直接绕过验证码的防护
只有你想不到,没有他写不出来的逻辑Bug

28、加密货币攻击
挖矿劫持:利用受害者计算资源,给攻击者挖矿
51%攻击:控制网络超过一半的算力,达到操纵交易的目的,越是小的交易网络,越容易被攻击
智能合约漏洞攻击:利用合约中的逻辑漏洞,达到攻击目的,已经发生过多次,每次被攻击者都损失惨重

29、社会工程学攻击
这个是最难防的
就是有目的的与相关人士沟通,获取信任,进而获取权限
手段包括金钱、心理学、信息不对称等,方法通过聊天、电话、视频、语音、邮件,五花八门

如何通俗解释BadUSB攻击

攻击者构建特殊的USB设备,比如USB键盘
该设备有两块芯片,一块就是USB键盘芯片,另一块是攻击芯片

当该USB设备连接电脑后,电脑会识别为键盘,并自动安装好驱动

此时,攻击芯片向电脑发送纯键盘指令
打开命令行,下载指定软件,安装该软件,这台电脑就中木马了

据说某组织,利用类似方法,盗取了不少快递单信息
两人一组,到快递集散中心加装沟通业务
A拉住负责人聊业务
B趁机找电脑插入USB设备,代码运行完成后,再拔出设备
后台木马很有针对性的,盗取快递单信息
被抓时,已经成功攻击了十几家快递站点

大模型时代需要强大的信息护盾

无论你周围的人,是否关注大模型,23年的ChatGPT的宫斗剧相信他应该还有些印象,毕竟都已经破圈了。

这件事情的起因,说白了就是“超级对齐派” 和 “激进派”之争。
“超级对齐派”希望,可以对预训练模型进行调整,让其符合人类的道德标准,但要付出更多的成本和时间,收获效果更差的模型。
“激进派”认为,这样很难满足投资人和用户的期望,公司根本无法生存。

“激进派”则希望,先满足大模型的商业价值,获取更多的投资和收入,然后再考虑“超级对齐”的事情。
“超级对齐派”认为,这样就相当于放出了洪水猛兽,会威胁到人类生存。

宫斗最终以“激进派”暂时获胜,“超级对齐派”基本离开OpenAI为结局。

当然,无论是业界大佬,还是各国政府,也都在积极呼吁,要对大模型进行立法管控,限制算力,防止“对人类造成不可挽回的影响”。

但立足于当前来看,以现在的AI能力来说,人为利用大模型创造虚假信息对社会造成负面影响,比“超级对齐派”的洪水猛兽恐怕来的更快。
而且更悲观的是,不管是否做了对齐,其实都可以通过调整,把预训练模型已经完成的对齐,重新解放,把猛兽再放出来。
毕竟,我们现在很难像科幻小说中,把“机器人三大定律”写入到机器人的固件中,并设置永不可更改。

如果没有强大的信息护盾,生成式AI很容易达成这些目的:
一、通过生成虚假信息(文字、图片、音频、视频),并可以达到以假乱真的效果,达到犯罪的目的
比如:通过视频通话,达到诈骗的目的

二、通过生成海量虚假信息,控制舆论
比如:通过伪造新闻,伪造评论,达到政治或军事目的

三、不断生成海量虚假信息,覆盖真实信息,改写历史
比如:将“窗前明月光”,在全网改为“窗前白月光”,经过几代人的不断灌输,慢慢就可以达到目的

这样的例子,我们可以举出很多。

是不是细思极恐。
聪明的你,有没有想到区块链的工作量证明:全人类在诗词上的纠正能力,也搞不过机器不是么。
当虚假信息达到99%的时候,
一个新诞生的人,会相信哪个信息呢?

人类从来无法从历史中学到教训。
只要有足够利益,就一定有人,用不正当的方法,利用新技术。
所以说,我们虽然还没到必须“超级对齐”的时代。但当前的AI技术,如果不尽快去管控使用方式,势必会给未来的我们,会造成巨大的损失。
我们需要强大的信息护盾!
亟需!

退一万步说,就算是不这样被大规模利用。
我们上一代人、我们这代人、我们下一代人,也要学会“区分是否为AI”的技巧。
但随着AI技术进步,这个技巧的习得,将越来越难。