什么是拖库,撞库?

什么是撞库?

  撞库是一个看起来很专业,但实际理解起来却很简单的名词。它其实就是黑客无聊的“恶作剧”。黑客首先会通过收集互联网已泄露的用户+密码信息,生成对应的字典表,然后再用字典中罗列的用户和密码,尝试批量登陆其他网站,这样,一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带来负面影响。

 什么是拖库?

  和撞库一样,拖库也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”。

时间: 2024-10-21 18:05:17

什么是拖库,撞库?的相关文章

机器人的洪流:刷库、撞库那些事儿

原文链接 机器人的洪流:刷库.撞库那些事儿 目明@阿里安全 一. 那些信息泄露的事 面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么.住在哪里.买了什么东西.花了多少钱.这些信息骗子们是从哪里得来的呢? 最近某票务网站就出现了这么一例case,因为骗子们知道其在该网站上的订单信息.电话和住址,因此认为骗子就是真实的该网站的客服人员,从而被引导到转款等流程中. 二. 他们怎么知道我们的个人信息   大多数人看到这些短信的第一反应是:我的信息被平台商卖给了骗子

撞库攻击:一场需要用户参与的持久战

一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的12306数据泄露事件,京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战. 对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的"恶作剧",黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户. 以京东之前的撞库举例,首先京东的数据库并没有泄漏.黑客只不过通过&

关于拖库和撞库的思考与对策

拖库是指黑客盗取了网站的数据库.撞库是指黑客用拖库获得的用户名和密码在其它网站批量尝试登陆,进而盗取更有价值的东西.由于一些用户在多个网站用相同的用户名和密码,所以撞库是有一定成功率的.现在稍微有点责任感的网站都不会将密码明文保存在数据库中,起码会做一次MD5.要想撞库,必须得知道密码的明文,也就是用户真正输入的密码.我们知道MD5算法是不可逆的,黑客是怎么弄到密码明文的呢?最常用的办法就是MD5字典. MD5字典是什么?其实就是提前将一些比较简单的密码(比如10位以内的纯数字)做MD5运算,将

浅谈撞库防御策略

2014年12306遭遇撞库攻击,13万数据泄露:2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露:数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁, 今天小编就和大家探讨一下如何才能够有效的防止撞库攻击.俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的. 首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过. 密码是明文的,提交了正确的验证码,repeater一下 回显是账号和密码错误,再repeater一下,还是显示账号和密码错

网站被黑客扫描撞库该怎么应对防范?

在安全领域向来是先知道如何攻,其次才是防. 在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户.因为很多用户在不同网站使用的账号密码大多是相同的,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站. 那么碰见撞库之后,我们如何防护呢?为此我们咨询了网易云易盾安全专家:刘庆.根据他的描述:撞库一般有以下几种形式,每种形式有一些不同的处置策略.但是实际情况是,被攻击的

账号加密与撞库解密【转】

什么是拖库与撞库? 拖库是指黑客盗取了网站的数据库.撞库是指黑客用拖库获得的用户名和密码在其它网站批量尝试登陆,进而盗取更有价值的东西.由于一些用户在多个网站用相同的用户名和密码,所以撞库是有一定成功率的.现在稍微有点责任感的网站都不会将密码明文保存在数据库中,起码会做一次MD5.要想撞库,必须得知道密码的明文,也就是用户真正输入的密码.我们知道MD5算法是不可逆的,黑客是怎么弄到密码明文的呢?最常用的办法就是MD5字典. MD5字典是什么? 其实就是提前将一些比较简单的密码(比如10位以内的纯

什么是撞库,如何预防撞库攻击?

什么是撞库攻击?撞库对用户可能有哪些危害?近期发生多起撞库事件,让越来越多的人关注撞库漏洞和撞库攻击.尤其对专注业务发展的公司来说,如何防止撞库威胁到信息安全问题不容小觑. 撞库攻击没有那么高深,举个例子来说,假设我有一个XX邮箱的账号,用户名是[email protected],密码是[email protected](很复杂,很安全).同时因为懒癌晚期的缘故,我还用这个账号注册了新浪微博.携程.淘宝.微信等等,都采用邮箱注册并且是同一个密码(这种情况很常见,因为懒得记不同的账号). 于是某天

Web安全开发之验证码设计不当引发的撞库问题

感谢某电商平台安全工程师feiyu跟我一起讨论这个漏洞的修复.以往在安全测试的过程中后台经常存在验证码不失效果造成的撞库问题,甚至在一些银行或者电商的登录与查存页面同样存在这个问题,一旦造成撞库无论对用户账号的安全性还是网站的负载都是巨大的挑战.其实造成问题的原因并不复杂,主要是研发在开发过程中缺少对安全的认知,造成的疏忽. 今天心血来潮自己写了个验证码来模拟下出现的问题,首先我们从前端页面开始分析: <!DOCTYPE html> <html> <head> <

htpwdScan — 一个简单的HTTP暴力破解、撞库攻击脚本

李姐姐之前跟我们分享了子域名枚举工具subDomainBrute<subDomainsBrute — 改进渗透测试时暴力枚举子域名的python脚本>,这回带给我们htpwdScan htpwdScan 是一个简单的HTTP暴力破解.撞库攻击脚本: 1. 支持批量校验并导入HTTP代理,低频撞库可以成功攻击大部分网站,绕过大部分防御策略和waf2. 支持直接导入互联网上泄露的社工库,发起撞库攻击3. 支持导入超大字典4. 其他细微功能:随机X-Forwarded-For.随机SessionID