當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

為您揭露攻擊者最陰險(xiǎn)的七大黑技

http://m.yibo1263.com　2008-11-15 8:02:48 　來源:東北IT網(wǎng) 　編輯:葉子

可以看出，越來越多的惡意軟件被作為附件放在了垃圾郵件中。在國(guó)外著名的社交網(wǎng)站中可以清楚地看到這一點(diǎn)。這種郵件的特點(diǎn)是將不明真相的人吸引到“特殊的”網(wǎng)頁(yè)中，如引誘用戶點(diǎn)擊一個(gè)精彩的視頻鏈接，而其實(shí)際上這是一個(gè)特洛伊木馬的下載鏈接，它會(huì)偷偷地將惡意軟件下載到用戶的計(jì)算機(jī)上，并將此計(jì)算機(jī)變?yōu)榻┦W(wǎng)絡(luò)的成員。

三、被改造的社交網(wǎng)絡(luò)應(yīng)用程序

用戶們并沒有過多地考慮將應(yīng)用程序安裝到其瀏覽器中的問題，不過，這些應(yīng)用程序可能會(huì)獲得訪問用戶系統(tǒng)的能力，而用戶的一些極私密的信息可能存儲(chǔ)在其自身的系統(tǒng)中，其危險(xiǎn)性顯而易見。不過，總有一些用戶認(rèn)為安裝這些應(yīng)用程序沒有什么了不起。

這使得第三方的應(yīng)用程序成為攻擊者的一種簡(jiǎn)易工具。此外，第三方的應(yīng)用程序服務(wù)還使得基于代碼的攻擊獲得了途徑。

但并不是說所有的社交網(wǎng)絡(luò)虛擬工具都是惡意的。如開放性社交網(wǎng)站opensocial向工具的開發(fā)人員提供了在其應(yīng)用程序中限制惡意JavaScript的選擇，但不熟練的開發(fā)者卻不知道如何使用這些手段。這只是一些可選項(xiàng)，很少有開發(fā)者使用這種工具。最終結(jié)果是，對(duì)安全不敏感的開發(fā)人員可以構(gòu)建應(yīng)用程序，而其傳播速度也會(huì)如枯草上的野火一樣迅猛。

四、個(gè)人信息與專業(yè)信息的交叉混雜

即使用戶將A社交網(wǎng)站的賬戶信息用于私用，而將另外一個(gè)社交網(wǎng)站的賬戶用于專業(yè)性網(wǎng)絡(luò)，這也無法保證前者的圖片不會(huì)出現(xiàn)在后者的賬號(hào)中，甚至“跑”到老板的郵箱中。不妨考慮一下開放性的社交網(wǎng)絡(luò)，不管是圖片還是工作經(jīng)歷，都可以成為到處復(fù)制、粘貼的對(duì)象。

五、跨站腳本攻擊或跨站請(qǐng)求偽造

跨站腳本攻擊及跨站請(qǐng)求偽造漏洞是很顯明的攻擊工具，有一些社交網(wǎng)絡(luò)蠕蟲使用跨站腳本攻擊漏洞幫助其傳播。不過多數(shù)社交網(wǎng)絡(luò)擁有對(duì)付跨站腳本攻擊的機(jī)制。而跨站請(qǐng)求偽造則尚未流行起來。

跨站腳本攻擊和跨站請(qǐng)求偽造對(duì)社交網(wǎng)絡(luò)站點(diǎn)并未造成巨大的風(fēng)險(xiǎn)。在跨站腳本攻擊中，惡意的代碼被注入到有漏洞的Web應(yīng)用程序中，查看這些網(wǎng)頁(yè)的用戶就會(huì)被“黑”。在跨站請(qǐng)求偽造中，攻擊者會(huì)欺騙用戶的瀏覽器發(fā)出要求登錄的請(qǐng)求。

要知道，在任何時(shí)候，攻擊者都可以強(qiáng)迫用戶加載HTML代碼，其潛在的威脅是攻擊者通過XSS/CSRF利用瀏覽器的漏洞、感染僵尸網(wǎng)絡(luò)、并可操縱用戶賬戶。

跨站請(qǐng)求偽造攻擊可以在多個(gè)社交網(wǎng)絡(luò)站點(diǎn)之間跳轉(zhuǎn)，而在用戶不斷登錄之時(shí)，這種攻擊能夠從一個(gè)社交網(wǎng)絡(luò)傳播到另外一個(gè)網(wǎng)絡(luò)。從總體上看，跨站請(qǐng)求偽造攻擊是一種被人們忽視的黑客行為。

六、身份竊取

簡(jiǎn)言之，身份竊取指通過假裝為另外一個(gè)人的身份而進(jìn)行欺詐、竊取等，并獲取非法利益的活動(dòng)。社交網(wǎng)絡(luò)的信息可透露一些頗有價(jià)值的內(nèi)容，如受害者的姓名和出生日期。身份竊賊們可以用這些信息猜測(cè)用戶的口令或模仿這些用戶，并最終竊取其身份。

社交網(wǎng)絡(luò)的用戶有時(shí)在不經(jīng)意間將自己的信息拱手讓給他人，他們可能將自己的郵件地址、出生日期、電話號(hào)碼等交給并不熟悉的所謂“網(wǎng)友”。

我們對(duì)社交網(wǎng)絡(luò)用戶的一條忠告是，不要回答網(wǎng)站提交的全部問題，或者不要提供自己真實(shí)的出生日期。用戶不必告訴網(wǎng)站自己真實(shí)的教育背景、電話號(hào)碼等，還要想方設(shè)法讓竊賊得到錯(cuò)誤的其它敏感信息。

七、公司間諜

公司間諜活動(dòng)在互聯(lián)網(wǎng)平臺(tái)日益發(fā)展壯大的背景下也有增無減，雇員的個(gè)人信息也有可能使公司招致公司間諜風(fēng)險(xiǎn)。

例如，為了實(shí)施釣魚攻擊，攻擊者所做的是在社交網(wǎng)絡(luò)站點(diǎn)上搜索公司的雇員，然后擺出一副公司老板或領(lǐng)導(dǎo)的姿態(tài)，如以人力資源部領(lǐng)導(dǎo)的身份出現(xiàn)，并向雇員發(fā)送電子郵件，如：“親愛的某某，恭喜你加入本公司。請(qǐng)單擊下面的鏈接訪問本公司的內(nèi)聯(lián)網(wǎng)，并以你正常的用戶名和口令登錄，我們將根據(jù)你的信息更新配置文件�！庇绕湟⒁獾氖�，剛來公司上班的新人有可能會(huì)遭到這樣的欺騙。

對(duì)付這種間諜行為的唯一辦法是告訴雇員要限制所公開的信息，并不要將雇主或老板的名字透露出去，這可以減少通過雇員攻擊公司領(lǐng)導(dǎo)及公司的機(jī)會(huì)。

本新聞共3頁(yè),當(dāng)前在第2頁(yè) 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·日本研究者發(fā)現(xiàn)一分鐘攻破WPA技術(shù)

·黑客攻防：網(wǎng)站常見后門總結(jié)

·拒絕黑客巧設(shè)網(wǎng)站目錄與數(shù)據(jù)庫(kù)權(quán)限

·防止網(wǎng)絡(luò)服務(wù)器被黑的安全技巧

·實(shí)例演示IPC$ 135弱口令入侵技巧

·網(wǎng)絡(luò)行為分析與拒絕服務(wù)攻擊分析

·教你找到電腦中隱藏的入侵的黑手

·硬件入侵檢測(cè)系統(tǒng)完全導(dǎo)購(gòu)

·從入侵實(shí)例看視頻服務(wù)器安全部署

·計(jì)算機(jī)網(wǎng)絡(luò)攻擊常見手法及防范

·黑客如何查找互聯(lián)網(wǎng)網(wǎng)絡(luò)安全漏洞

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费