當然可以!以下整理出多種常見的網路攻擊方式,並附上簡潔清楚的解釋與實務重點,適合用於課程教材、資訊安全訓練或報告撰寫。
| 攻擊名稱 | 類型 | 說明 |
|---|---|---|
| Phishing (釣魚攻擊) | 社交工程 | 假冒可信單位(如銀行、政府機關)發送電子郵件,引誘使用者點擊惡意連結或輸入帳密。 |
| SQL Injection (SQL 注入) | 應用層 | 利用網頁輸入欄位注入惡意 SQL 指令,操控資料庫讀寫、刪除或竊取資料。 |
| Cross-Site Scripting (XSS) | 應用層 | 將惡意 JavaScript 插入網頁,竊取使用者 Cookie、執行未授權操作。 |
| Denial of Service (DoS) / DDoS | 網路層 | 發送大量請求癱瘓網站伺服器,使正常用戶無法存取資源(如 SYN Flood)。 |
| Man-in-the-Middle (MITM) | 傳輸層 | 攻擊者攔截兩方通訊資料,可竊聽、篡改或重導資訊。常見於未加密的 Wi-Fi。 |
| Brute Force (暴力破解) | 驗證攻擊 | 嘗試所有可能的密碼組合,直到成功登入。對弱密碼使用者特別有效。 |
| Ransomware (勒索軟體) | 惡意軟體 | 加密使用者檔案後要求贖金。知名如 WannaCry、Locky。 |
| Malware (惡意程式) | 惡意軟體 | 安裝於系統中竊取資料、控制系統、建立後門。包含病毒、木馬、間諜程式等。 |
| Zero-day Attack (零時差攻擊) | 應用漏洞 | 利用廠商尚未修補的未知漏洞進行攻擊,難以預防與偵測。 |
| ARP Spoofing (ARP 欺騙) | 區域網路層 | 攻擊者偽裝為 LAN 中的閘道器,攔截內部網路的資料封包。 |
| DNS Spoofing (DNS 欺騙) | 網路層 | 回傳偽造的 DNS 回應,將使用者導向惡意網站(假網站、釣魚網站)。 |
| Credential Stuffing (憑證填充) | 身分驗證攻擊 | 利用其他網站外洩的帳密資料,嘗試登入不同服務。 |
| Session Hijacking (會話劫持) | 應用層 | 攻擊者竊取使用者的 Session ID,冒用使用者身分進行操作。 |
| Social Engineering (社交工程) | 人為攻擊 | 誘騙或操弄人類行為(如冒充 IT 支援,索取密碼),達成非法目的。 |
| 分類 | 包含攻擊 | 備註 |
|---|---|---|
| 應用層攻擊 | SQL Injection, XSS, Session Hijacking | 針對 Web 應用邏輯與輸入驗證漏洞 |
| 網路層攻擊 | SYN Flood, DNS Spoofing, ARP Spoofing | 針對協定漏洞或封包操作 |
| 社交工程攻擊 | Phishing, Baiting, Pretexting | 利用人性弱點而非技術弱點 |
| 惡意軟體攻擊 | Ransomware, Trojan, Worm | 需配合下載或安裝程式 |
| 加密與驗證攻擊 | MITM, Brute Force, Credential Stuffing | 攻擊認證或資料傳輸過程 |
| 對策 | 說明 |
|---|---|
| 使用 HTTPS 與 SSL/TLS | 防止資料傳輸被攔截(防止 MITM) |
| 資料輸入驗證與參數化查詢 | 防止 SQL/XSS 注入 |
| 設置強密碼與多因子驗證(MFA) | 防止暴力破解與憑證填充 |
| 定期更新與修補 | 防範 Zero-day 與已知漏洞 |
| 網路封包監控(IDS/IPS) | 偵測與阻擋異常封包活動 |
| 教育使用者防範釣魚與社交工程 | 提升人員資安意識 |
如您有興趣,我可以針對以下項目進一步提供內容:
需要哪一項呢?
非常好!OWASP(Open Worldwide Application Security Project)定期發布全球最重要的 Web 應用程式安全風險排行榜:「OWASP Top 10」。以下是最新版(2021 年版)OWASP Top 10 攻擊類型詳解,我也附上各類型的簡易教學題目,適合用於課堂教學、考試設計或自學練習。