黑客能干什么?黑客怎么搞破坏,每种破坏方式需要哪些前置技能?对号入座,看看你会多少黑魔法(一)
黑客能做什么?是不是就像霍格沃茨魔法学院里的黑魔法一样,一旦发动,毁天灭地?
还真不是,黑客其实能做的比较有限,尤其是对普通人,几乎构不成任何威胁,但是对于大公司和大企业,伤害比较大,所以大部分人没见过黑客,只停留在概念阶段。
下边罗列一些作者认知范围内的黑客攻击手段,本篇仅罗列技术层面攻击手段,对于忽悠,诈骗,钓鱼网站之类的低级手段,不包括在内,因为作者并不是万中无一的高手,所以疏漏之处在所难免。
最基础也是最常见的DDoS攻击
DDoS攻击又叫分布式拒绝服务(Distributed DenialofService)攻击
案例:小丽经营一家KTV,每天排队,生意火爆,邻居老王生气了,雇了一帮无业游民,一天24小时不间断给小丽KTV打电话预定,但是又不来,去小丽KTV闲逛问价格,却不唱歌,这样,小丽每天疲于应付无业游民,分不清谁是真正的顾客,也没精力接待真正的顾客,KTV就这样被毁了。
总结:KTV是服务器,老王是黑客,无业游民是电脑或者智能设备终端,预定电话是request请求
前置技能:
1.能 同时控制 足够多的的电脑或者智能设备
2.掌握C/S架构原理
3.掌握TCP/UDP连接请求、HTTP GET请求,掌握TCP/IP协议建立连接的三次握手机制
2.比较常见的SQL注入攻击
结构化查询语言(Structured Query Language)是数据库专用的操作语法,SQL注入攻击的目标是数据库
案例:市区有一所医院,专门治疗各种疑难杂症,看病得实名制办卡,病人的病例全部存放在档案室,每个病人看病的时候取走自己的档案,但是医闹胖虎在取档案的时候假装院领导,唬住了档案室管理员静香,观看了其他病人的病例,知道了不少人原来得了见不得人的病,对这些人进行敲诈勒索,甚至对病例进行了恶意修改,小病改成大病,大病改成绝症,绝症改成没病,以此对医院敲诈勒索。
总结:医院是服务器,病例档案室是数据库,胖虎是黑客,静香是数据库管理人员或程序,胖虎和静香沟通的语言是SQL语句,唬住静香就是SQL注入
前置技能:
1.精通SQL语句和数据库运行原理
2.精通服务器和客户端脚本语言(如PHP、JavaScript)
3.精通各种互联网传输协议
4.精通B/S架构及其运行机制,尤其是请求和响应的方式,以及session和cookie的使用
5.服务器是Linux操作系统的,需要熟练掌握Linux服务器配置与管理命令
6.掌握网络抓包工具的使用方法
7.掌握代理服务器原理
8.掌握浏览器的开发者模式
3.逐步扩大的XSS漏洞攻击
XSS(Cross Site Scripting)漏洞攻击,即跨站脚本攻击,和CSS层叠样式表重名,所以改名XSS
案例:著名的4A级景区十一期间,门票120一张,大雄买票路上碰到了自己同学,景区主管儿子小夫,小夫表示我可以帮你60买一张门票,小夫有员工特权偷了一张票给了大雄,同时小夫还在售票处机器做了手脚,通过四舍五入,每张门票自己抽成0.4元,119.6在售票机上还是显示120,大雄得到好处之后,熟人朋友去游玩都找小夫买半价票。
总结:售票处服务器,大雄和他的熟人朋友是客户端,小夫是黑客,员工特权是脚本语言,小夫是景区主管儿子,员工特权高于其它人,售票处机器四舍五入显示是服务器漏洞,大雄熟人朋友和本人都去找小夫是客户端DOM漏洞
前置技能:
1.对脚本语言(如PHP、JavaScript)的理解和掌握超出常人,能写出高级程序员想不到的脚本语言
2.精通网页HTML语言和结构
3.精通HTTP超文本传输协议
4.精通B/S架构及其运行机制,尤其是请求和响应的方式,以及session和cookie的使用
5.掌握网络抓包工具的使用方法
6.掌握代理服务器原理
以上罗列了3种较为基础的攻击方式,每一种都把前置技能罗列了出来,拥有前置技能,你才能使用这些强大的技能,大家是否能掌握这些“现代黑魔法”,回到霍格沃茨,黑魔法是不是还真有那么亿点点难。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
一、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
二、部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
三、适合学习的人群
基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
文章来自网上,侵权请联系博主
