浅谈撞库防御策略

2014年12306遭遇撞库攻击,13万数据泄露;2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁,

今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。

首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过。

密码是明文的,提交了正确的验证码,repeater一下

回显是账号和密码错误,再repeater一下,还是显示账号和密码错误。说明验证码不用再次请求,可以直接进行撞库。

设置彩虹表。

开始撞库,分分钟1000+可用用户名和密码就到手了。

是的,我们就是这样不知不觉就暴露了。

当然不是所有的网站都能够如此轻松被撞库,说明这个网站的安全性做的真的不好。

撞库是什么?

黑客通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表。通过恶意程序和字典表批量尝试登录其他网站,得到一系列可用的真实用户信息。

撞库成功的原因是什么呢?

  1. 广大网络用户为了方便记忆,所有网站都使用同一套用户名和密码。
  1. 网站登录的安全措施不够。

撞库的危害是什么呢?

  1. 就企业而言保护用户的信息安全是基本责任之一,泄露用户信息会缺失公信力,损毁公司品牌形象。
  1. 就个人而言小则骚扰电话天天有,大则个人财产不翼而飞。

撞库这么大的危害,作为企业和网站主应该如何防止撞库攻击呢?

通过上面的例子我们可以发现,阻止撞库登录就是要让黑客不能够使用脚本程序进行批量登录。常用的方法有以下几种:

 限制同一个IP的请求次数和请求频率

这是一种方法,但是由于IP代理的存在,作用也不是特别大。

使用cookie,flash cookie以及帆布指纹等方法

目前也是有许多网站在使用这种策略,有一定的作用,但是也是可以被清除掉的。

添加验证码

当然不能用上例网站中的验证码和验证机制,像这样,没什么用。

为什么没用呢?

  1. 验证机制,请求一次之后可以直接绕过。
  1. 就算每一次登录都需要请求验证码,这种验证码的安全性也低,很容易被识别。

有别于上例中的验证码,极验推出基于行为式验证技术的验证码,从以下三点解决验证码被绕过的问题。

  1. 我们利用机器学习,深度学习对人的行为特征进行了大量的分析。建立了安全模型去区分人与机器程序。

(通过模型分析,红色是恶意程序,绿色是正常用户,我们可以清晰的分辨出来,说明人与机器程序在网络世界的行为是具有很大的差距的。)

  1. 动态更新,当网站出现可疑情况时我们能够最快速的进行全网的验证模型更新。
  1. 用深度学习构建的神经网络是可以不断的自主学习的,在不断的验证过程中不断的学习新的特征分析,一直在进步的网络。

一般情况下网站都会采用以上三种策略组合的方式来抵御撞库攻击,能不能够防得住,验证码起了很关键的作用。

当然还有一些其他高级一些的防御方式

进行生物特征识别,也就是说不使用我们传统的密码了,当然这是任重而道远的一件事情;

使用手机验证码,性价比不高,物理因素的影响会很大,还有就是接码平台的存在也严重威胁其安全性;

对用户设置密码进行限制和更高级的算法加密,以及对用户的登录环境进行监测等,但是这对很多的企业和网站来说,实现起来是有难度的。

所以使用验证码是目前防止网站被撞库攻击性价比最高的方法,简单而容易实现,但是我们应该选择安全性高的验证码,不然形同虚设,没有实质性的作用。

时间: 2024-10-24 21:21:38

浅谈撞库防御策略的相关文章

浅谈mysql innodb缓存策略

浅谈mysql innodb缓存策略: The InnoDB Buffer Pool Innodb 持有一个存储区域叫做buffer pool是为了在内存中缓存数据和索引,知道innodb bufferpool怎么工作,和利用它读取频繁访问的数据,是mysql优化重要的方面. 理想状况下,把bufferpool的大小调整到足够大,留下足够的内存空间给其他该服务器上的进程(使其无缺页即可).bufferpool越大,innodb 月表现为内存型数据库,从硬盘上一次读取数据,之后并成了从内存中读取数

浅谈加速因子在策略中的意义

他站链接:浅谈加速因子在策略中的意义 NO:01没有完美的交易系统,但是却有完美的交易哲学.交易哲学.交易策略和资金管理三者缺一不可,才能构成正期望的交易系统.投机依赖价格的移动获得盈利(低买高卖或高买更高卖).在上升或下降趋势中,价格虽然在整体上朝着一个方向移动,但中间也会有短暂的反方向移动.而在横盘过程中,价格的移动方向则显得相对"随机"一些. NO:02关于价格的移动,可以类比物理学中的运动.其中包括:位移距离.时间.速度等.价格的位移相对于时间的比率就是价格的速度.除了速度之外

浅谈前端安全问题及策略

一,XSS  XSS攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中. 常见的 XSS 攻击有三种: DOM-based 型.反射型.存储型. 其中: 反射型.DOM-based 型可以归类为非持久型 XSS 攻击. 存储型归类为持久型 XSS 攻击. ①DOM-based型攻击: 利用dom本身的缺陷,进行攻击 栗子:就是页面中的某个图片,获取图片的路径: <img src="{{img.src}}"&

浅谈华为防火墙NAT策略

博文目录 一.什么是NAT? 二.如何解决源地址转换环境下的环路和无效ARP问题? 三.什么是Server-map表? 四.NAT对报文的处理流程 五.开始配置NAT 一.什么是NAT? NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术.此博文重点是华为相关的NAT知识上. 1.NAT分类 在内外网的边界,流量有出.入两个方向,所以NAT技术包含源地址转换和目标地址转换两类.一般情况下,源地址转换主要用于解决内部局域网计

浅谈安全性攻击人为攻击的主要形式和防御

0x01 安全性攻击主要的两种方式 当前,对信息系统(包括硬件.软件.数据.人.物理环境及其基础设施)的攻击来自多方面,这些攻击我们可以宏观地分为人为攻击(主观因素)和自然灾害攻击(客观因素),这两大类的攻击都会对信息安全构成威胁.造成自然灾害攻击的自然因素包括各种自然灾害:如水.火.雷.电.风暴.烟尘.虫害.鼠害.海啸和地震等:系统的环境和场地条件,如温度.湿度.电源.地线和其他防护设施不良造成的威胁:电磁辐射和电磁干扰的威胁:硬件设备自然老化,可靠性下降的威胁等.因为自然灾害往往不可预知和抗

转载-浅谈Ddos攻击攻击与防御

EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2011-2-10From: http://www.80sec.com/ [ 目录 ]一 背景二 应急响应三 常见ddos攻击及防御四 根源及反击五 总结 一 背景 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击.因为我们本身并不从事这种类型的攻击,这

浅谈C++ IO标准库(1)

IO流:一.C++中标准IO库:1).为面向对象的标准库.2).以继承的形式设计.     A)以iostream为基类,派生出了fstream,strigstream类.注意:fstream.stringstream没有继承关系,open.close为fstream类自有的函数操作,str为stringstream自有的函数操作,故其各函数操作不可混用,而iostream中的函数操作其两子类由于继承关系可以调用.     B) 其禁用了复制和赋值操作,故IO对象不可以复制或赋值.这将导致像ve

泛型编程与C++标准模板库 : 浅谈sort()排序函数

以前用sort排序的时候,只知道sort函数有如下两种重载方式. template< class RandomIt > void sort( RandomIt first, RandomIt last ); template< class RandomIt, class Compare > void sort( RandomIt first, RandomIt last, Compare comp ); 当时对这些参数也不是很懂,只知道一些简单的用法. 1).比如: 如下代码可以使

浅谈Windows平台下C++调用静态链接库的方式

浅谈Windows平台下C++调用静态链接库的方式 1. 什么是静态链接库?为什么要用静态链接库? 维基百科上关于静态库的解释是这样的:在计算机科学里,静态库(英语:Static library, Statically-linked library),或称静态库,是一个外部函数与变量的集合体.静态库的文件内容,通常包含一堆程序员自定的变量与函数,其内容不像动态链接库那么复杂,在编译期间由编译器与连接器将它集成至应用程序内,并制作成目标文件以及可以独立运作的可执行文件. 由上面的解释可以很清楚的看