你应该知道的十大黑客方法

互联网技术的发展带来了许多增长和商机,也带来了新的机遇。 黑客 方法来匹配。
来自私人 社会化媒体 用户 小企业 和大公司,现代黑客的受害者范围很广。
因此,了解万维网上可能存在的危险,并掌握正确的信息来减轻这些危险,符合您的最佳利益。 安全 威胁。这篇文章揭示了一些线索。
顶级黑客方法
以下是顶级黑客方法:
社会工程是操纵潜在受害者以泄露重要信息或采取某些行动以授予攻击者所需访问权限的过程。 有很多方法可以处理社会工程,例如打电话给受害者并要求提供敏感信息。 这个方法被称为 语音网络钓鱼 并且通常用于从毫无戒心的受害者那里收集银行信息,这些受害者认为真正的银行员工在另一端。
另一种流行的方法是 钓鱼,就像电话方法一样,它包括模仿。在这里,它可能是一个假冒的银行网站,看起来 100% 与原始银行的网站相似。受害者收到一份 发邮件至 或发送带有虚假网站链接的短信,要求他出于安全目的紧急更新其详细信息。然而,在虚假网站上输入的所有信息都会被攻击者复制并用于清空受害者的帐户。
其他方法包括黑客与受害者成为朋友并逐渐获得所需信息,或冒充政府雇员、老板或安全人员等权威人物恐吓受害者泄露信息。
避免成为社会工程受害者的方法包括不信任陌生人,始终检查以确保您在正确的网站上“https://” 无论如何都不要泄露您的密码或 PIN 码。
2.窃听
另一种危险的黑客攻击方法是窃听。 这很危险,因为有很多方法可以解决它,而且黑客可以获得的信息量没有限制。
示例方法包括使用网络分析器软件嗅探网络数据包以提取信息,例如 Wireshark的. 另一种方法是在受害者的计算机或智能手机上安装一个小型应用程序,记录每次击键或捕获所有文本通信。
其他窃听方法包括中间人攻击,让黑客将信息传递给两方,而他们认为他们正在直接通信。 例如,GSM 网络会自动链接到最强的信号,因此通过欺骗特定网络的 GSM 塔,该区域内的所有手机都会自动链接到黑客并通过他的系统传递他们的信息。
浏览器和应用程序使用以下方式与服务器通信 会话。 要进入与服务器的会话,用户必须首先使用登录名/密码组合以及可能的 2 因素身份验证来标识自己。 验证用户身份后,服务器将启动与用户浏览器的会话,在此期间无需进一步验证,直到用户注销。
这里的一个小问题是服务器将存储一个 饼干 在经过身份验证的用户的机器上或向 URL 添加会话 ID,例如 这个用户很好,你得到了漂移。 但问题是,如果黑客可以窃取这些 cookie 或会话 ID,那么他就可以访问受害者必须通过身份验证才能进入的受限环境。 然后,他可以发帖、转账或做任何他喜欢的事情。
现在,有很多方法可以实现这一点:
- XSS 或跨站点脚本 – 这包括诱骗受害者点击合法站点的链接,但其中包括 JavaScript 代码,用于窃取该合法站点的 cookie 并将其发送到黑客的站点。
- 会话嗅探 – 黑客可以使用像 Wireshark 这样的网络嗅探器来拦截会话和 cookie 信息。
- 会话固定 – 攻击者向受害者发送包含会话 ID 的链接。 如果受害者登录并且系统无法生成新的会话 ID,那么黑客也可以使用相同的会话 ID 登录。 这里的解决方案是让系统在每次登录后始终生成一个新的会话 ID。
- 会议捐赠 – 黑客登录合法站点,然后将包含会话数据的链接发送给受害者,要求他更新信息。 受害者会看到他已经登录,如果他没有注意到这不是他的帐户,那么他可以输入敏感信息,黑客以后可以窃取这些信息。 一种解决方案是在完成后始终注销。
4. XSS & CSRF
正如上面已经提到的,XSS 代表跨站点脚本,而 CSRF 代表跨站点请求伪造。 你应该在这里注意到,XSS 超越了普通的 cookie 盗窃,因为它是在受害者信任的页面上运行脚本,同时连接其他不太受信任的网站。
受害者无需登录、验证或采取任何行动即可陷入 XSS 攻击,这通常是自动的。 然而,对于 CSRF,受害者必须登录特定网站并采取额外行动,例如点击按钮。
举个例子,Victim-Bob 登录到他的银行网站,然后某事分散了他的注意力,然后他登陆了一个提供 自由游澳门, 他所需要的只是点击按钮。 但是,一旦他单击它,该网站就会向他的银行提交汇款请求,并且由于他与银行有一个活跃的会话,因此它可能会通过。
攻击者的网站所需要的只是创建一个针对银行的表单,其中包含正确的字段,例如:
5.热点蜜罐
曾经使用过免费 WiFi 访问网络吗?希望您使用 VPN (虚拟专用网络)以保护自己,否则您可能成为蜜罐受害者。
该计划是这样的:黑客设置了一个免费的 WiFi 热点,并在幕后使用数据包嗅探器从免费上网的人那里获取密码和其他贵重物品。 有些甚至设置了虚假的公司热点,例如您会在咖啡店、机场和餐馆找到的。
为避免此类黑客攻击,只需远离免费热点,或在必须使用公共 WiFi 时使用 VPN。
6.蛮力
蛮力攻击是通过尝试所有可能的用户名和密码组合来尝试登录受害者的帐户。 它也可以指通过尝试尽可能多的密钥来破解算法。
卡利Linux,流行的黑客操作系统,带有暴力工具,例如 开膛手约翰, 破解, 和 水润. 还有单词列表,有助于字典攻击。 这些包含字典中最流行的密码和单词的列表,例如 猴子,12345,mysecretpassword,00000, 等等。
避免暴力攻击的方法包括在登录页面添加验证码、限制登录尝试次数以及强制使用安全密码 - 8 个字符或更多字符,包含符号、数字和大小写字母的组合字母。
7. DoS 和 DDoS
DoS 代表 拒绝服务 攻击,而 DDoS 代表 分布式拒绝服务攻击 攻击。 这里的目的是用如此多的请求压倒诸如服务器之类的计算机系统,使其无法满足进一步的请求 - 脱机。
DoS 来自单台机器,易于发现和阻止。 另一方面,DDoS 来自多台计算机,这可能是一个遍布全球的僵尸网络,通常源自感染了恶意软件的计算机。
您应该注意,与此列表中的大多数其他方法不同,DDoS 攻击的目的不是在受害者的计算机上窃取或执行恶意代码。 相反,它们被用来包围业务服务器,因为这些公司在支付赎金之前不可能继续提供服务。
避免 DDoS 攻击的最简单方法是使用在提供的软件包中包含 DDoS 保护的 Web 主机。
8. 目标和非目标网站攻击
有针对性的攻击是专门针对受害者网站的攻击,而非针对性的攻击则发生在网站上,因为攻击者正在利用一般软件弱点。
例如,WordPress 网站很容易受到非目标攻击,尤其是那些运行在较旧、未更新版本上的网站。 攻击者发现适用于特定平台、版本或开发框架的漏洞利用,然后通过使用该平台的网站地址列表运行漏洞利用,以查看哪些漏洞被破坏。
对于有针对性的攻击,黑客将花费更多时间来了解受害者的网站,这可能从几天到几个月不等。 有针对性的攻击通常更危险,而且可能是灾难性的,尤其是对大公司而言。
9。 SQL注入
什么时候 LulzSec 2011 年闯入 Sony PlayStation Network 的服务器并窃取了 1 万个密码,他们将此次操作描述为简单的 SQL 注入黑客攻击。
SQL 注入是在网站的请求地址中添加 SQL 语言指令的行为,希望程序员没有清除这些潜在有害的输入。 当 SQLi 工作时,黑客通常会获得对数据库的管理员访问权限,就像索尼一样。
使用最新版本的流行平台和框架可以防止 SQL 注入。 然而,那些自己构建的将不得不专注于正确的输入验证、准备好的语句的使用、存储过程和漏洞扫描。
10. 插件漏洞
除了 WordPress 等流行平台的核心安全问题(通常可以通过升级到最新软件版本来避免)之外, 插件另一方面,可能会造成重大的黑客威胁。
WordPress 生态系统中有超过 50,000 个插件,每个插件都存在潜在的安全风险,因为当前大多数 WordPress 黑客攻击都来自这些插件漏洞。
尽管这里不可能 100% 安全,但您仍然可以通过仅选择具有高评级的顶级插件来提高网站对插件漏洞的防御。 然后定期进行核心系统和插件更新,避免使用旧主题或任何类型的扩展。
结语
我们列出了黑客的前 10 种方法,您已经看到了它们的原因和可能的预防方法。 正如您也必须得出的结论,黑客是计算机世界的一部分,因此黑客威胁始终是不可忽视的。
但是,通过了解这些威胁并在必要时采取正确的保护措施,您也可以大大降低被黑客入侵的风险。