淺談撞庫防禦策略
2014年12306遭遇撞庫攻擊,13萬資料洩露;2015年烏雲網上爆出網易郵箱過億使用者資料由於撞庫洩露;資料洩露愈演愈烈,撞庫登入成為網站的一大安全威脅,今天小編就和大家探討一下如何才能夠有效的防止撞庫攻擊。俗語知己知彼,百戰不殆,小編在網上找了個撞庫教程整理給大家看看,瞭解黑客是如何撞庫的。
首先找到一個目標網站,隨便輸入一組使用者名稱和密碼,測試其驗證碼是否可以被過。
密碼是明文的,提交了正確的驗證碼,repeater一下。
回顯是賬號和密碼錯誤,再repeater一下,還是顯示賬號和密碼錯誤。說明驗證碼不用再次請求,可以直接進行撞庫。
設定彩虹表。
開始撞庫,分分鐘1000+可用使用者名稱和密碼就到手了。
是的,我們就是這樣不知不覺就暴露了。
當然不是所有的網站都能夠如此輕鬆被撞庫,說明這個網站的安全性做的真的不好。
撞庫是什麼?
黑客通過收集網際網路已洩露的拖庫資訊,特別是註冊使用者的使用者名稱和密碼資訊,生成對應的字典表。通過惡意程式和字典表批量嘗試登入其他網站,得到一系列可用的真實使用者資訊。
撞庫成功的原因是什麼呢?
廣大網路使用者為了方便記憶,所有網站都使用同一套使用者名稱和密碼。
網站登入的安全措施不夠。
撞庫的危害是什麼呢?
就企業而言保護使用者的資訊保安是基本責任之一,洩露使用者資訊會缺失公信力,損毀公司品牌形象。
就個人而言小則騷擾電話天天有,大則個人財產不翼而飛。
撞庫這麼大的危害,作為企業和網站主應該如何防止撞庫攻擊呢?
通過上面的例子我們可以發現,阻止撞庫登入就是要讓黑客不能夠使用指令碼程式進行批量登入。常用的方法有以下幾種:
1.限制同一個IP的請求次數和請求頻率
這是一種方法,但是由於IP代理的存在,作用也不是特別大。
2.使用cookie,flash cookie以及帆布指紋等方法
目前也是有許多網站在使用這種策略,有一定的作用,但是也是可以被清除掉的。flash cookie可能相對要更好一些。
3.新增驗證碼
當然不能用上例網站中的驗證碼和驗證機制,像這樣,沒什麼用。
為什麼沒用呢?
a.驗證機制,請求一次之後可以直接繞過。
b.就算每一次登入都需要請求驗證碼,這種驗證碼的安全性也低,很容易被識別。
相比較於上例中對於驗證碼的疏忽,很多公司也很重視驗證安全。有一些安全比較高的驗證碼也是有不錯的防範效果的。
極驗驗證碼
利用目前比較火的機器學習以及深度學習建模,分析人和機器的拖動特徵,防止機器指令碼的效果是很不錯的。另外一點很好的是,基於深度學習構建神經網路能夠較為快速的學習特徵,有可疑情況出現能夠迅速的進行升級。
漢字驗證碼
漢字驗證碼由於漢字的複雜性和數量大,影像識別起來有一定的難度,也算是目前驗證碼中相對安全的一種。不過在使用者體驗上卻不如極驗的那麼好。
一般情況下網站都會採用以上三種策略組合的方式來抵禦撞庫攻擊,能不能夠防得住,驗證碼起了很關鍵的作用。
當然還有一些其他高階一些的防禦方式
進行生物特徵識別,也就是說不使用我們傳統的密碼了,當然這是任重而道遠的一件事情;
使用手機驗證碼,價效比不高,物理因素的影響會很大,還有就是接碼平臺的存在也嚴重威脅其安全性;
對使用者設定密碼進行限制和更高階的演算法加密,以及對使用者的登入環境進行監測等,但是這對很多的企業和網站來說,實現起來是有難度的。
所以使用驗證碼是目前防止網站被撞庫攻擊價效比最高的方法,簡單而容易實現,但是我們應該選擇安全性高的驗證碼,不然形同虛設,沒有實質性的作用。
相關文章
- 淺談DDos攻擊與防禦
- 淺談如何提高防禦DDOS的效果
- 國科雲:淺談DNS快取投毒常見型別和防禦策略DNS快取型別
- Akamai淺談網路攻擊的防禦AI
- 撞庫掃號防範
- 撞庫是什麼意思?如何有效防範撞庫攻擊?
- 淺談軟體開發中的防禦式程式設計程式設計
- CC防禦的四大策略
- 【虹科分享】一種動態防禦策略——移動目標防禦(MTD)
- 前端的安全問題與防禦策略前端
- 淺談DDOS中NTP放大攻擊的操作過程以及防禦措施?
- 生成樹欺騙攻擊與防禦策略
- 淺談大型網際網路企業入侵檢測及防護策略
- antixss防禦xss DLL庫檔案
- 淺談requests庫
- 淺談大型網際網路的企業入侵檢測及防護策略
- 什麼是“撞庫”?如何避免撞庫攻擊?
- 淺談線上廣告分配策略
- 淺談Redis安全策略佑葉Redis
- 淺談前端安全以及如何防範前端
- AccessibilityService防禦
- DDoS 防禦
- DDoS攻擊是什麼?網站DDoS防禦策略有哪些?網站
- 防禦DDoS原理搞明白,防禦效果才能事半功倍
- 淺談JavaScript的防抖與節流JavaScript
- 淺談 CC 攻擊的防護方法
- 淺談中介軟體漏洞與防護
- 前端防禦XSS前端
- 網站被黑客掃描撞庫該怎麼應對防範?網站黑客
- 淺談圖資料庫資料庫
- 淺談塔防遊戲的“進化史”,獨特創意把“策略至上”推到新的高度遊戲
- 什麼是撞庫?撞庫攻擊常見的方法有哪些?
- 什麼是撞庫及撞庫攻擊的基本原理
- AccessibilityService分析與防禦
- CSS 樣式防禦CSS
- 淺析大規模DDOS防禦架構-應對T級攻防架構
- 淺說:網路空間擬態防禦是個什麼鬼?
- 淺談資料庫事務資料庫
- 淺談 JavaScript 中的防抖與節流(一)JavaScript