网络信息安全与应急响应手册（执行版）.docxVIP

网络信息安全与应急响应手册（执行版）

第1章网络威胁态势感知与风险识别

1.1主流攻击类型特征分析

针对Web应用的SQL注入攻击通常表现为恶意用户利用预定义的SQL语句构造非法查询，攻击者会在查询字符串中拼接如OR1=1或UNIONSELECT等恶意代码，导致数据库表被直接读取或执行任意命令。例如，在登录界面输入admin--配合用户密码，服务器便会返回包含所有用户数据的完整网页，且攻击者无需获取服务器IP即可在局域网内扫描出所有端口，这是典型的无需认证即可获取内网资源特征。横向移动攻击往往利用漏洞在服务器间建立持久连接，攻击者会先通过漏洞在目标服务器一个后门程序，该程序会在用户或运行脚本时自动执行，从而绕过防火墙限制，在内部网络中横向扫描其他敏感资产。例如，攻击者利用Web服务器漏洞恶意脚本，当管理员访问该时，脚本会在后台静默连接数据库服务器，并收集目标系统的用户列表和权限信息，随后通过SSH协议向其他服务器发起连接，实现从核心数据库向办公终端的批量数据窃取。

勒索软件攻击常通过加密用户文件并索要赎金，攻击者会在系统中创建加密进程，并一个包含RSA公钥和私钥的加密文件，要求受害者在24小时内支付比特币赎金，否则将加密整个硬盘。例如，攻击者编写勒索程序，在用户打开文档或文件时自动触发加密，并在文件后缀名后附加一个加密文件，同时通过