2.3.4 进攻性的欺骗
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.3.4 进攻性的欺骗,对于进攻,目前许多普遍的攻击都使用欺骗技术作为成功的基石。例如,网络钓鱼攻击通常使用两级欺骗技术:欺骗用户点击看似有合法来源的链接,这将会把他们带到第二级的欺骗,即显示诱导他们提供凭证的看似合法的网站。“Nigerian 419”诈骗案是期望获取钱财时欺骗用户提供敏感的信息的另一案例。
在多数情况下,攻击者专注于欺骗用户,因为人是安全链中最脆弱的环节。Kevin Mitnick在他的《欺骗的艺术》这本书中阐述了很多这样的例子[35],即他如何使用社会工程的技巧来进入许多计算机系统。已有30多年历史的特洛伊木马是一个通过欺骗渗透到系统中的典型例子。
网络钓鱼、跨站脚本攻击(XSS)[36]和跨站请求伪造(XSRF)[37]是一些使用欺骗的例子。尽管学术界和私营部门已经进行了数十载的研究,这些问题每年仍造成更多的危害。自从第一次在2007年列入OWASP名单之后,XSS和XSRF仍然在前十项最严重危胁列表中。攻击性欺骗技术的有效性促使安全研究人员思考如何在安全防御中积极应用欺骗。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.3.4 进攻性的欺骗
