- 综合排序
- 最热优先
- 最新优先
- 来自专栏架构驿站
【安全测试】安全之10种攻击途径解析
攻击者可以通过复制节点进行DOS攻击,或者生成不合法的XML导致服务器端逻辑的中断。攻击者也可以操纵外部实体,导致打开任何文件或TCP连接端口。 XML数据定义的中毒也可以导致运行流程的改变,助攻击者获取机密信息。 1. XML中毒(poisoning) 攻击者可以通过复制节点进行DOS攻击,或者生成不合法的XML导致服务器端逻辑的中断。攻击者也可以操纵外部实体,导致打开任何文件或TCP连接端口。 假如Web服务对不必要的方法没有禁止的话,攻击者可以通过WSDL扫描找到潜在的攻击点。 6. 10.
66470编辑于 2022-03-25 网络协议与攻击模拟-10-UDP协议
·53 DNS ·69 TFTP ·111 RPC ·123 NTP ·161 SNMP
21700编辑于 2025-08-19- 来自专栏红日安全
Web安全Day10 - 重放攻击实战攻防
重放攻击 1. 漏洞简介 首先简单看一下百度百科对重放攻击的简介:重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程, 重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。 2. 重放攻击的重要点在于重放的是可以造成目的效果的数据包,从而达到修改和多次执行的效果。 重放攻击主要是针对系统没有效验请求的有效性和时效性,对于多次请求执行,系统将多次响应。 在重放攻击利用最多的形式中,短信轰炸算是重放攻击最直接的利用表现。 4. 常见漏洞类型 1.
3K11发布于 2020-02-29 - 来自专栏喔家ArchiSelf
大模型应用的10种攻击方式
对抗性后缀攻击 通过添加看似随机的字符串,比如 n! ! ?对于提示,攻击者可以完全破坏 LLM 防护措施。这些后缀作为认知噪音,混淆了安全层,同时保留了原始查询的有害意图。 虽然这种缓解措施对于常见场景是有效的,但攻击者不断创新新的令牌走私技术,特别是通过结合不同类型的编码和混淆的多模态攻击。 5. 以下是这些攻击的典型工作方式: 攻击者将恶意请求构造为看似合法的函数调用 LLM 使用提升的特权处理这些调用,通常会绕过正常的安全检查 可以操作函数参数来执行非预期的操作 链式函数调用会产生难以检测的复杂攻击序列 10. 多智能体妥协攻击 多智能体妥协攻击利用人工智能系统的协作特性,通过它们的交互机制传播妥协行为。该技术利用 AI 代理之间的信任关系,通过系统网络传播未经授权的更改。 虽然并非所有这些技术都在 OWASP 的 10 大 LLM 应用程序漏洞中被明确归类,但是许多技术都属于其更广泛的类别: 提示注入、数据中毒和系统提示泄漏。
12910编辑于 2026-06-15 - 来自专栏Rust语言学习交流
【Rust日报】2023-10-10 使用 Cackle 抵御 Rust 供应链攻击
使用 Cackle 抵御 Rust 供应链攻击 Cackle 是一个代码 ACL 检查器,用于增加供应链攻击的难度。Cackle 通过 cackle.toml 进行配置。
42610编辑于 2023-10-18 - 来自专栏IT运维技术圈
10 常见网站安全攻击手段及防御方法
不妨先从仔细审视互联网上最常见的10种网络攻击开始,看看能够采取哪些办法来保护你的网站。 10种常见网站安全攻击 1. 零日攻击 零日攻击是模糊攻击的扩展,但不要求识别漏洞本身。此类攻击最近的案例是谷歌发现的,他们在Windows和Chrome软件中发现了潜在的零日攻击。 在两种情况下,恶意黑客能够从零日攻击中获利。 而且,DDoS攻击常与其他攻击方法搭配使用;攻击者利用DDoS攻击吸引安全系统火力,从而暗中利用漏洞入侵系统。 保护网站免遭DDoS攻击侵害一般要从几个方面着手。 关注Java项目分享 10. 网络钓鱼 网络钓鱼是另一种没有直接针对网站的攻击方法,但我们不能将它排除在名单之外,因为网络钓鱼也会破坏你系统的完整性。 虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。
2K10编辑于 2022-06-27 - 来自专栏FreeBuf
2020年黑客首选10大Windows网络攻击技术
其中,就2020年黑客首选10大Windows网络攻击技术进行了调研。 2、19%:签名的二进制进程执行 排名第二的攻击使用2种技术:Rundll32和Mshta。两者都允许攻击者通过受信任的签名二进制文件创建恶意代码。同样,攻击者使用的是离地攻击。 因此,企业在建立查找异常攻击的基线后,建议使用Windows 10 Attack Surface Reduction设置来查找LSASS可疑访问。 8、5%:工具转移 虽然大多数攻击是离地攻击,但有时候攻击者也会将工具转移到平台上,他们使用bitsadmin.exe转移攻击工具,而查看PowerShell命令行中的关键字和模式是找到攻击序列的关键方法 9、4%:系统服务 攻击者使用Windows Service Manager运行命令或安装服务。 10、4%:重命名伪装 攻击者通过重命名系统工具程序来绕过控件和检测。
1.4K50发布于 2021-05-20 - 来自专栏FreeBuf
6600个组织遭到了10万多次BEC攻击
BEC攻击影响了成千上万个组织 Barracuda的研究人员在最新的报告中发现:6170个使用Gmail,AOL和其他电子邮件服务的恶意帐户,造成了100,000多次BEC攻击。 这些攻击影响了近6,600个组织。而且,自4月1日以来的“恶意帐户” 攻击量,是检测到的BEC攻击总量的45%。 如何避免此类攻击 Barracuda的研究人员通过对6,600个组织的攻击事件进行分析发现,在许多情况下,网络犯罪分子使用相同的电子邮件地址来攻击不同的组织。 每个恶意帐户攻击的组织数量范围,从一个到256个不等。一个恶意帐户发送的电子邮件攻击的数量在1到600多封电子邮件之间,平均仅为19。 参考链接: https://www.helpnetsecurity.com/2020/08/10/6600-organizations-bombarded-with-100000-bec-attacks
1.1K20发布于 2020-08-17 - 来自专栏FreeBuf
2022 全球网络黑产常用攻击方法 Top 10
本文列举当下最流行的网络黑产常用攻击方法,总结了 2022 全球网络黑产常用攻击方法 Top 10,带你更深刻认识网络黑产。 一般而言,伪基站的作用时间持续10 秒到 20 秒,恰好允许短信推送。 伪基站具有隐蔽性、持久性等特点,加上往往部署在灵活性较高的汽车上,因此伪基站还具有较强流动性。 DDoS攻击 DDoS 攻击,官方定义为多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了多个位于不同位置的机器并利用这些机器对受害者同步实施攻击。 DDoS 攻击表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。 另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务。
1.6K20编辑于 2023-02-10 - 来自专栏渗透测试专栏
渗透测试信息收集技巧(10)——Office钓鱼和钓鱼攻击
当目标机器运行文档以后,Cobalt Strike会接受到目标机器反弹的shell 目标进程会增加一个rundl32.exe进程 钓鱼攻击 CHM钓鱼 LNK钓鱼 HTA钓鱼 CHM钓鱼 CHM(Compiled
70710编辑于 2024-09-27 - 来自专栏技术篇
最常见的 10种网络安全攻击类型
虽然有几十种不同类型的攻击,但网络攻击列表包括 10 个最常见的例子。 最常见的 10 种网络安全攻击类型 1. 单一的DoS攻击一般是采用一对一方式的,通过制造并发送大流量无用数据,造成通往被攻击主机的网络拥塞,耗尽其服务资源,致使被攻击主机无法正常和外界通信。 DoS 攻击还可用于为另一种类型的攻击创建漏洞:在完成DoS 或 DDoS 攻击后,系统很可能处于离线状态,这会使其容易受到其他类型的攻击。 鱼叉式网络钓鱼攻击 鱼叉式网络钓鱼是指一种有针对性的网络钓鱼攻击,攻击者花时间研究他们的预期目标,通过编写与目标相关性极强的消息来完成攻击。 对站点的敏感区域使用安全的身份验证避免URL 解释攻击,例如多因素身份验证 (MFA) 或由随机字符组成的安全密码。 10. DNS 欺骗 DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
4.8K30编辑于 2022-08-16 - 来自专栏区块链入门
【攻击】日蚀攻击,女巫攻击,重放攻击,DDOS攻击的定义?
<3>【重放攻击(Replay Attacks)】 又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。 在日蚀攻击中,攻击者不像在女巫攻击(Sybil attack)中那样攻击整个网络,而是专注于隔离和瞄准某个特定节点。这种攻击通常会导致受害者节点接收到被操纵的、伪造的区块链视图。 分布式拒绝服务攻击方式在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。 攻击方式: 1、SYN Flood攻击 SYN Flood攻击是当前网络上最为常见的DDoS攻击,它利用了TCP协议实现上的一个缺陷。 这种攻击的特点是可以绕过普通的防火墙防护,可通过Proxy代理实施攻击,缺点是攻击静态页面的网站效果不佳,会暴露攻击者的lP地址。
5.2K30发布于 2020-09-25 - 来自专栏FreeBuf
雀巢遭Anonymous组织攻击 致10GB敏感资料外泄
近日,国际黑客组织“匿名者”(Anonymous)宣布,他们成功入侵了全球最大食品制造商雀巢(Nestlè)的网络,并披露了10GB的敏感数据,包括公司电子邮件、密码和与商业客户相关的数据,以惩罚其未停止在俄罗斯的业务 雀巢是入侵事件发生后仍在俄罗斯运营的西方公司之一,“匿名者”先前就警告过该公司,然后才对其进行了黑客攻击。 本次攻击发生后,雀巢宣布它决定将继续留在俄罗斯运营,因为公司方面宣称其目的并非是从在俄罗斯的业务中获利。 此外,“匿名者”组织高调宣布将发动另外的大规模攻击,对于40家仍在俄罗斯运营的国际公司发出威胁警告。该组织警告称,他们将给这些国际公司48小时的时间以停止与俄罗斯的合作。
50040编辑于 2022-04-12 - 来自专栏ops技术分享
攻击科普:ARP攻击
一.介绍 ARP攻击的局限性 ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行。 无法对外网(互联网、非本区域内的局域网)进行攻击。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击 ,将本应该发往电脑B的数据发送给了攻击者。 同样的,攻击者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给攻击者。 至此攻击者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。
3K30发布于 2021-05-26 - 来自专栏数通
掌握这10种DNS攻击类型
企业如果要保护网络免受此类攻击,前提就是要了解不同类型的DNS攻击,并找到相对应的缓解方法。在本文中,研究人员详细介绍了当前最危险的10种DNS攻击类型以及原理,并给出了相应的预防建议。 6、幻域攻击 幻域攻击与普通子域名攻击类似,在这种类型的攻击中,由于一些“幻影”域名从不响应DNS查询,攻击者会通过大量查询耗尽DNS解析器的资源。 8、随机子域攻击 随机子域名攻击的构造与简单的拒绝服务攻击(DoS)基本相同,因此通常被视为DoS攻击。 攻击原理 ●攻击者可以通过随机子域名攻击在现有域名上创建大量子域; ●作为快速流转方法的一部分,攻击者会非常快速地更改与子域名相关联的IP地址; ●攻击者使用DGA(域名生成算法)创建大量看似随机选择的域名或子域 10、域名(Domain)劫持 在这种攻击中,攻击者会修改域名注册商和 DNS 服务器,以便将用户的流量重新路由到其他地方。如果攻击者获得了DNS 数据的控制权,则域名劫持也可能发生在 DNS层面上。
1K10编辑于 2024-12-03 - 来自专栏网络安全攻防
AI不是被攻击,而是被操控:OWASP MCP Top 10全景解剖
OWASP MCP Top 10正是在这一背景下对AI工具协议层面潜在安全问题的系统性总结与风险归纳,不仅关注传统的软件安全问题,而且更聚焦于模型与外部系统交互过程中产生的新型攻击路径,例如:工具滥用、 OWASP 将其视为典型的"AI系统供应链信任崩塌风险",其本质是AI Agent对外部依赖过度信任,而缺乏端到端的完整性校验与行为验证机制 攻击路径 供应链攻击常见的攻击路径包括 上游依赖污染:攻击者在开源仓库 OWASP将其定义为典型的"AI执行链路注入风险",其本质是自然语言与可执行指令之间缺乏安全边界隔离,导致模型成为间接命令执行器 攻击路径 命令注入与执行攻击风险场景的攻击场景包括: 恶意输入注入:攻击者在自然语言请求中嵌入隐藏命令或危险语句 服务,禁止动态接入未知或未验证的服务节点 Zero Trust MCP访问模型:默认不信任任何MCP Server,即使是内部网络服务也需进行持续认证、授权与上下文验证,避免“内网即可信”的假设 MCP10 上下文生命周期管理:对短期上下文、会话上下文与长期记忆进行分层管理与自动过期机制,减少历史数据长期污染当前决策的风险 参考链接 https://owasp.org/www-project-mcp-top-10
33910编辑于 2026-05-19 - 来自专栏FreeBuf
MOTS攻击之TCP攻击
这种类型的攻击比中间人攻击相对隐秘,其正常情况下只是监听,需要攻击时才进行攻击,并且攻击时只需要发送少量报文,不会出现大流量。所以具有隐蔽、难以发现、攻击效果明显等特点。 ? 针对TCP的攻击这里主要介绍两种方式:DOS和劫持,其他类型的攻击,大家可以完善、补充。 2. python的第三方库scapy库来实现的,python本身没有这个库,需要手工安装,具体安装方法大家根据自己的系统与python版本自行安装,本人测试是使用Win10 Pro+Python3.6。 本人测试时使用的是Windows10 Pro版本,经分析,其应该是操作系统过滤了reset报文,至少是过滤了三次握手时的reset包,所以才导致连接并没有释放并且可以正常交互。 reset报文,另一方面收到reset或者syn+ack但是ack序号不正确的报文不立即处理,而是等一段时间(如10ms),在这段时间内若有正常的syn+ack报文过来,则正常建立连接。
2K50发布于 2018-02-28 - 来自专栏博文视点Broadview
书单 | 读了这10本书,再也不怕黑客攻击了!
本期就来分享10本与网络安全相关的经典畅销书,让你既知攻,又知防,在建设网络安全的道路上知己知彼,百战百胜! ,数据库一直是黑客攻击的终极目标,因此,数据库攻防研究已经成为企事业单位网络安全工作的重点和难点。 10 ▊《白帽子讲Web安全(纪念版)》 吴翰清 著 首度英文版发行的中国原创安全技术书 阿里P10安全研究员、曾经的少年天才黑客道哥扛鼎之作 从业者标配:全面覆盖客户端-服务器端-公司运营安全 在互联网时代 ,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。 活动时间:截至10月8日开奖。 快快拉上你的小伙伴参与进来吧~~ 如果喜欢本文欢迎 在看丨留言丨分享至朋友圈 三连 热文推荐 缓存核心知识小抄,面试必备,赶紧收藏!
1.1K10编辑于 2023-05-06 - 来自专栏全栈程序员必看
CSRFXSRF攻击和XSS攻击
XSS攻击发生的条件是可以执行javascript脚本,一般在站点中总会有发表文章、留言等信息的表单,这种表单一般是写入到数据库中,然后在某个页面进行展示。 我们可以在这些表单中直接编写javascript代码(<script>alert("哈哈哈哈,你被攻击了!");</script>)进行测试,看是否可以执行。 如果在信息展示页面js代码可以执行,XSS攻击就成功了。 CSRF攻击能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于cookie中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。 可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求
1.2K20编辑于 2022-07-21 - 来自专栏FreeBuf
网络罪犯耍阴招:回顾体育界的10起网络攻击事件
随着人们对即将到来的2024年巴黎夏季奥运会的期待越来越高,让我们来看看体育组织沦为网络攻击受害者的10个案例。 BEC事件 NSCS报告将商业电子邮件妥协(BEC)欺诈列为体育组织面临的最大威胁。 然而,2023年10月,法国篮球队ASVEL却响起了另一种「示警声」,NoEscape勒索软件团伙策划了一起数据泄露,高达32GB的敏感数据惨遭泄露,其中包括球员的护照和其他证件、合同、保密协议和其他法律文件等敏感信息 足球界同样无法幸免 2023年10月18日,皇家社会足球俱乐部在欧冠和西甲赛场上展现出的泰然自若突然被打破,俱乐部发表了一份简短的声明,宣布自己成为了网络攻击的受害者。 2022年9月,博卡青年队沦为攻击的受害者,其官方YouTube账户遭到攻击。攻击者控制了通道,并继续传播推广以太坊加密货币的信息。 https://www.welivesecurity.com/en/cybercrime/cybercriminals-play-dirty-10-cyber-hits-sporting-world/
67410编辑于 2024-04-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号