8种常见网络攻击 从入门到防御一篇搞懂网络安全!

原创 于 2025-03-24 19:10:36 发布 · 677 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #前端 #学习 #网络

#8种常见网络攻击 从入门到防御一篇搞懂网络安全!

0****1

钓鱼攻击

图片1.png

原理:伪装成可信来源,诱导用户泄露敏感信息

防御:提高网络安全意识,谨慎点击陌生链接

0****2

中间人攻击(MITM)

图片2.png

原理:攻击者在通信双方之间截获或篡改数据。

防御:使用HTTPS、VPN,避免连接不安全的Wi-fi

0****3

DDOS攻击

图片3.png

原理:通过大量请求淹没目标服务器,使其无法正常服务。

防御:使用CDN、配置防火墙、启用流量清洗。

0****4

SOL注入

图片4.png

原理:通过恶意SQL语句操纵数据库,窃取或破坏数据。

防御:使用参数化查询、输入验证、web应用防火墙。

0****5

XSS攻击

图片5.png

原理:在网页注入恶意脚本,窃取用户信息或会话。

防御:对用户输入进行转义或过滤,启用CSP(内容安全策略)。

0****6

勒索软件

图片6.png

原理:加密用户文件,要求支付赎金才能解密。

防御:定期备份数据、安装防病毒软件、提高网络安全意识。

0****7

暴力破解

原理:通过穷举法尝试破解密码或密钥。

防御:使用强密码、启用多因素认证(MFA)、限制登录尝试次数。

0****8

零日攻击

原理:利用未公开的漏洞进行攻击,防不胜防。

防御:及时更新软件、启用入侵检测系统(IDS)。

网络安全是每个人的责任,了解攻击原理是防御的第一步!定期更新系统和软件,避免成为攻击目标!

防御总结:

**技术层面:**使用防火墙、WAF、IDS等工具。

**管理层面:**制定安全策略、定期培训干部。

**用户层面:**提高安全意识,不轻信陌生信息。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

网络安全入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 1845
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
[网络安全自学篇] 六十九.宏安全入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
04-21 9787
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了利用永恒之蓝漏洞加载WannaCry勒索病毒,实现对Win7文件加密的过程,并讲解WannaCry勒索病毒的原理。这篇文章将讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,本文包括宏病毒基础原理防御措施、自发邮件及APT28样本分析。基础性文章,希望对您有所帮助。
登录rabbitMQ管理界面时浏览器显示要求进行身份验证,与此站点连接不安全解决办法
m0_61399406的博客
08-28 7868
导致这个问题的原因是我在docker上面部署rabbitMQ的时候没有设置管理员账号。导致rabbitMQ中只有自己的默认账号。没有我登录的那个 itcast 账号,所以会有这个问题。等等乱七八糟的设置,结果发现问题还是存在。于是在其他的搜索下知道了错误的原因所在。3.使用创建的用户进行登录后就不会显示以上问题,成功进入rabbitMQ管理界面。当时以为自己需要输入自己的浏览器登录的账号进行验证,但是密码和账号输入后却显示。1.先进入自己部署的 rabbitMQ 容器中,查看所有的用户信息。
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 975
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
uniapp使用md5加密
逆水行舟 不进则退
06-18 3714
uniapp开发手机端登录页密码使用md5加密
微信小程序 MD5 方法js
热门推荐
woshihaiyong168的博客
01-12 1万+
生成的文件可以放在  utils文件中哦!!! /* * A JavaScript implementation of the RSA Data Security, Inc. MD5 Message * Digest Algorithm, as defined in RFC 1321. * Version 1.1 Copyright (C) Pau
SonarQube安全扫描
帅小缙的大脑风暴❤
01-19 2724
SonarQube是一个开源的代码分析平台,用来持续分析和评测项目源代码的质量。接下来将会简单介绍在Jenkins上如何集成SonarQube,在项目中实现安全扫描和分析代码质量。
网络安全入门教程(非常详细)从零基础入门到精通
2301_77160226的博客
09-06 3618
网络安全是一个充满挑战和机遇的领域,随着数字化时代的发展,网络安全的重要性日益凸显。通过系统的学习和实践,掌握网络安全的基础知识和技能,不断提升自己的能力,你可以在这个领域中取得成功。同时,要保持对网络安全的热情和好奇心,持续学习和关注行业动态,为保护网络空间的安全贡献自己的力量。希望这篇网络安全入门教程能够帮助你从零基础入门,逐步精通网络安全领域,开启你的网络安全之旅。
网络安全入门到精通(特别篇VI):应急响应之网页纂改处置流程
HACKONE的博客
04-10 204
攻击者故意篡改网络上传送的报文 通常已入侵目标系统并篡改数据 劫持网络连接 插入数据的形式进行。
《黑客攻防从入门到精通:工具篇》全15章万字深度总结——从工具解析到实战攻防,构建完整网络安全知识体系
最新发布
FFNCL的博客
03-12 2645
本书通过15章系统化教学,不仅传授工具使用,更强调攻防思维的平衡:《黑客攻防从入门到精通:工具篇》的价值不仅在于工具使用教学,更在于引导读者理解攻防对抗的本质——安全是持续的过程,而非静态的结果。通过系统化工具链的掌握与伦理意识的培养,读者将能够站在防御者的高度,构建主动、动态、纵深的网络安全体系。注:文章对书中的内容还没有详细描述,主要是书中讲解的一些工具在目前来说已经过时或者无法安全下载,所以文章中给出的一些工具都是目前常用的工具。喜欢就点点关注和评论一起进步。
AndroBugs_Framework,androbogs框架是一个高效的android漏洞扫描器,可以帮助开发人员或黑客在android应用程序中发现潜在的安全漏洞。不需要在Windows上安装。.zip
09-25
androbogs框架是一个android漏洞分析系统,可以帮助开发人员或黑客在android应用程序中发现潜在的安全漏洞。
APK漏扫和靶场
tainqiuer123的博客
03-12 1720
APKDeepLens是一个基于python的工具,旨在扫描Android应用程序,专门针对OWASP TOP 10移动漏洞。
md4 java_javascript 版的 MD4
weixin_35615495的博客
02-26 268
/** A JavaScript implementation of the RSA Data Security, Inc. MD4 Message* Digest Algorithm, as defined in RFC 1320.* Version 2.1 Copyright (C) Jerrad Pierce, Paul Johnston 1999 - 2002.* Other contri...
【亲测免费】 APKDeepLens:Android安全漏洞扫描工具指南
gitblog_00792的博客
08-12 1516
**APKDeepLens** 是一个基于Python的开源工具,专为扫描Android应用程序(APK文件)中的安全漏洞而设计。它遵循OWASP(开放式Web应用安全项目)的十大移动安全风险,帮助开发者、渗透测试者和安全研究人员更轻松高效地评估Android应用的安全状况。该工具提供了详细的报告生成功能,支持自动化集成到持续集成/持续部署(CI/CD)流程中。 ## 2. 项目快速启动 ##...
Android APP漏洞自动化静态扫描检测工具-Qark
白帽子九一
04-22 9530
快速 Android 审查工具包 此工具旨在查找源代码或打包 APK 中的多个与安全相关的 Android 应用程序漏洞。该工具还能够创建“概念验证”可部署的 APK 和/或 ADB 命令,能够利用它发现的许多漏洞。无需 root 测试设备,因为该工具专注于可以在其他安全条件下利用的漏洞。 要求 在 Python 2.7.13 和 3.6 上测试 在 OSX、Linux 和 Windows 上测试 用法 有关更多选项,请参阅–help命令。 APK: ~ qark --apk path/to/my.apk
Web渗透漏洞靶场收集
wangluoanquan111的博客
10-09 552
如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。初学的时候玩靶场会很有意思,可以练习各种思路和技巧,用来检测扫描器的效果也是很好的选择。Web安全入门必刷的靶场,包含了最常见web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护。AWVS的测试站点,用于扫描效果验证,提供了多场景的公网靶场,也常作为漏洞利用演示的目标。基于Java编写的漏洞靶场,提供了一个真实的安全教学环境,用于进行WEB漏洞测试和练习。
uniapp MD5加密
weixin_58431406的博客
11-01 1328
uniapp MD5加密
网络安全考试题库:初学者入门必练
这篇资源提供了一套网络安全相关的考试试题,旨在帮助初学者检验和提升网络安全知识。试题涉及到网络协议、安全策略、文件系统、操作系统的安全性、数据加密以及网络防御等方面。以下是各题目涉及的知识点: 1. ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值