网站被黑客扫描撞库该怎么应对防范?

在安全领域向来是先知道如何攻,其次才是防。

在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。因为很多用户在不同网站使用的账号密码大多是相同的,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。

那么碰见撞库之后,我们如何防护呢?为此我们咨询了网易云易盾安全专家:刘庆。根据他的描述:撞库一般有以下几种形式,每种形式有一些不同的处置策略。但是实际情况是,被攻击的网站可能会同时面临几种不同类型的撞库,毕竟大家手里拿到的社工库非常多,撞库的成本也非常低。

社工库是社会工程学数据库的简称,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库中有大量信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、通话记录、短信记录、开房记录等等)

最常见的三种撞库方法:

第一种:n个密码字典撞m个账号,这个的表象是,一个账号在某个较短的时间内,可能会有多次密码尝试。所以,可以在账号层加限制措施,比如:一天内,一个账号,密码错误次数超过5次时,1天之内禁止登陆(或者校验手机短信/密保问题之后才能登陆)。

第二种:用几个密码撞n个账号,这个的表象是,密码出现的频率会非常高,所以,可以统计一段时间内每个密码的错误次数,超过一定阈值时,这个密码在一段时间内禁止登录(或者校验手机短信/密保问题之后才能登陆)。

第三种:n组一一对应的账号密码来再撞库,这种情况的撞库单纯从账号、密码的维度来看,不会有明显的异常。所以,需要一些其他的应对措施。比如:

1)IP封禁,如果一段时间内,单个IP地址,密码错误次数超过阈值,则禁止这个IP一段时间再登录(或者校验手机短信/密保问题之后才能登陆)。不过,如大家所说,现在代理IP相当廉价,从IP层面来封禁基本上没啥作用。

2)建立IP画像库,对代理IP、IDC IP等高危的IP直接禁止登陆(或者校验手机短信/密保问题之后才能登陆)。自己建立IP画像库成本可能会有点高,可以考虑采购安全厂商的类似服务。

3)现在比较火的行为验证码,比如:拖条、点选、拼图等各种花样的验证码。只是说,如果之前登录不需要验证码,现在要加上一个验证码,估计要和产品撕逼。一般来说最后为了后期的运营,产品也会同意加上验证码。

4)从设备层面来识别和封禁,通过在客户端植入sdk,收集用户端的设备信息,从设备层面来做高频策略,或者,直接识别出非正常的设备,然后对设备进行封杀。

5)从行为层面来识别和封禁,和上面一条一样,通过客户端植入sdk,收集用户在登录页面的交互行为,通过机器学习、大数据建模,训练出正常用户、异常用户的行为模型,在交互行为层面,将撞库的行为识别出来。这个需要有预先训练好的行为模型,现在机器学习那么好,不说大家也都知道,自己训练一个模型肯定需要很多标注数据,这也就意味着成本。所以,还是建议寻找安全厂商还做,毕竟专业的人做专业的事,靠谱!

上面列举的这些措施,没有哪一个是一劳永逸的,都是需要不断对抗升级,毕竟撞库的手段也会不断的进化,我们能做的是不断优化策略,不断提高撞库的成本。所以,最好的方式是采购安全厂商的相关服务,把攻防对抗的事交给安全厂商来做,咱们专注做自己的业务,这样性价比会更高。

原文地址:http://blog.51cto.com/13610827/2114146

时间: 2024-10-03 00:04:44

网站被黑客扫描撞库该怎么应对防范?的相关文章

关于拖库和撞库的思考与对策

拖库是指黑客盗取了网站的数据库.撞库是指黑客用拖库获得的用户名和密码在其它网站批量尝试登陆,进而盗取更有价值的东西.由于一些用户在多个网站用相同的用户名和密码,所以撞库是有一定成功率的.现在稍微有点责任感的网站都不会将密码明文保存在数据库中,起码会做一次MD5.要想撞库,必须得知道密码的明文,也就是用户真正输入的密码.我们知道MD5算法是不可逆的,黑客是怎么弄到密码明文的呢?最常用的办法就是MD5字典. MD5字典是什么?其实就是提前将一些比较简单的密码(比如10位以内的纯数字)做MD5运算,将

账号加密与撞库解密【转】

什么是拖库与撞库? 拖库是指黑客盗取了网站的数据库.撞库是指黑客用拖库获得的用户名和密码在其它网站批量尝试登陆,进而盗取更有价值的东西.由于一些用户在多个网站用相同的用户名和密码,所以撞库是有一定成功率的.现在稍微有点责任感的网站都不会将密码明文保存在数据库中,起码会做一次MD5.要想撞库,必须得知道密码的明文,也就是用户真正输入的密码.我们知道MD5算法是不可逆的,黑客是怎么弄到密码明文的呢?最常用的办法就是MD5字典. MD5字典是什么? 其实就是提前将一些比较简单的密码(比如10位以内的纯

黑客枚举攻击,撞库导出12306几十万用户密码,可是不一定是真相

现在很多网站都要注册,如果每个网站都有独立的用户名和密码,估计一般用户记不下来.我也经常去注册其他网站,用同样的用户名和密码.黑客就是利用这个相同用户名和密码原理,用其他网站的用户名和密码去12306,就是火车售票网,登录,成功了,就可以获得有效的用户名和密码.而不需要枚举获得用户名和密码.这个应该是社会工程学原理,获取大量用户名和密码.可能支付宝,QQ,新浪微博密码也是通过这个方式获得,这样,现在网络安全愈加严峻.因为用户不可能记住几十个用户名和密码. 我觉得统一用户和密码,实现单一登录可能是

如何抓到入侵网站的黑客?

shotgun ,讲故事的黑客 366 人赞同 利益相关:信息安全从业人员,曾在某大学教过公安部委托培训信息安全硕士<攻防与技术侦破>专业课. ====== 按照时间划分,一次犯罪是由犯罪动机.犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手. 先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬案”,除非当事人主动承认或者再次犯案.绝大多数的犯罪都是有动机的,冲突口角.获取利益.炫耀出名等等,发生计算机犯

撞库攻击:一场需要用户参与的持久战

一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的12306数据泄露事件,京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战. 对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的"恶作剧",黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户. 以京东之前的撞库举例,首先京东的数据库并没有泄漏.黑客只不过通过&

什么是拖库,撞库?

什么是撞库? 撞库是一个看起来很专业,但实际理解起来却很简单的名词.它其实就是黑客无聊的"恶作剧".黑客首先会通过收集互联网已泄露的用户+密码信息,生成对应的字典表,然后再用字典中罗列的用户和密码,尝试批量登陆其他网站,这样,一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码.身份证号码.家庭住址,支付宝及网银信息等.这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带

浅谈撞库防御策略

2014年12306遭遇撞库攻击,13万数据泄露:2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露:数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁, 今天小编就和大家探讨一下如何才能够有效的防止撞库攻击.俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的. 首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过. 密码是明文的,提交了正确的验证码,repeater一下 回显是账号和密码错误,再repeater一下,还是显示账号和密码错

机器人的洪流:刷库、撞库那些事儿

原文链接 机器人的洪流:刷库.撞库那些事儿 目明@阿里安全 一. 那些信息泄露的事 面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么.住在哪里.买了什么东西.花了多少钱.这些信息骗子们是从哪里得来的呢? 最近某票务网站就出现了这么一例case,因为骗子们知道其在该网站上的订单信息.电话和住址,因此认为骗子就是真实的该网站的客服人员,从而被引导到转款等流程中. 二. 他们怎么知道我们的个人信息   大多数人看到这些短信的第一反应是:我的信息被平台商卖给了骗子

如何利用开源风控系统(星云)防止撞库?

在企业发展过程中,日益增多的业务形态往往会招致新的业务风险.简单的业务防护已经不足以解决问题.一套完整的业务风控系统可以帮助企业有效的规避风险,降低损失. TH-Nebula(星云)是威胁猎人开源的业务风控系统.在业务安全应用门槛普遍过高的当下,我们希望以开源的方式,降低大家的学习使用门槛,能以更低的成本,完成风控体系从无到有的搭建,在使用过程中意识到风控的重要性. 自TH-Nebula(星云)发布以来,考虑到大家在如何部署.如何使用.和为什么需要风控系统上能还存在一些问题. 本文以如何防止撞库