安全名词解析-水坑攻击、鱼叉攻击、钓鲸攻击_深坑攻击

前言

01 水坑攻击

水坑攻击（Watering Hole Attack）是一种针对特定目标的网络攻击方式。顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。与传统的钓鱼攻击不同，水坑攻击不是直接针对个别用户，而是以攻击者事先判断出的受害者常访问的合法网站作为目标。寻找网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

2015年，攻击者就曾利用微软IE浏览器和Adobe Flash中的漏洞将恶意代码植入福布斯新闻网“今日遐思（Thought of the Day）”专栏页面。任何使用Flash特定版本的用户只要访问“今日遐思”页面，都将面临感染恶意代码的风险。

02 鱼叉攻击

鱼叉攻击（Spear Phishing Attack）是一种针对特定人员或机构的网络钓鱼攻击方式。攻击者主要通过电子邮件、即时消息等方式，伪装成受害者信任的合法发送者，诱骗受害者点击恶意链接或附件，进而窃取个人信息、机密数据，甚至攻击系统。比如伪装人资部门推送薪酬调整邮件、伪装安全管理部门要求安装终端检查软件等。

2019年，全球大使馆就曾遭受来自俄罗斯黑客发动的鱼叉式钓鱼攻击。目标单位的个人接受到了钓鱼邮件，这些邮件带有美国国务院标志以及“绝密”标签，诱骗受害者认为它们是合法的，但实际上却包含恶意Excel文件。这些文档能够利用木马版本的远程访问软件TeamViewer来控制受感染的计算机。

03 钓鲸攻击

钓鲸攻击（Whaling Attack）是一种高级的网络诈骗手段，主要针对公司、企业等大型组织中的高层管理者和高管人员，攻击者通常以假冒知名公司或政府机构的名义，向目标发送电子邮件或短信，通过虚假的紧急通知、重要文件等欺诈手段，诱骗目标大量转账、提供机密信息或下载恶意软件。

FACC Operations GmbH是一家奥地利公司，专门为各大飞机制造商生产备用零部件。2016年1月份，它透露自己沦为了一起电子邮件欺诈案的受害者，由于CEO上了鲸钓攻击的当，结果公司损失了5000万欧元。

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取