起航学习网

- 让每个人都能学到最前沿新知识、新技能!
起航学习网
当前位置: 起航学习网 > 短期培训 > 编程语言 > 什么是撞库攻击?老男孩网络安全培训机构

什么是撞库攻击?老男孩网络安全培训机构

时间:2022-04-27 15:16:55来源:未知 作者:老男孩教育 已有: 名学员访问该课程

  快捷搜索:

前言:什么是撞库攻击?撞库攻击可能对用户造成哪些危害?科技在高速发展,网络是把双刃剑,在带给我们益处的同时,也伴随着一定的风险,近期发生多起撞库事件,也让越来越多的人关注这个问题,那它到底是什么?又该如何防范?请看下文: 什么是撞库攻击? 按字面意思解读,就是碰撞数据库。碰撞意味着碰

  什么是撞库攻击?撞库攻击可能对用户造成哪些危害?科技在高速发展,网络是把双刃剑,在带给我们益处的同时,也伴随着一定的风险,近期发生多起撞库事件,也让越来越多的人关注这个问题,那它到底是什么?又该如何防范?请看下文:

  什么是撞库攻击?

  按字面意思解读,就是“碰撞数据库”。“碰撞”意味着碰运气,即不一定能成功;而“数据库”中往往存储着大量敏感数据,比如我们登录一个网站所需要的用户名、密码,再比如手机号、身份证号等个人隐私信息。

  撞库的主要场景:试图获取正确的账号/密码组合,大白话理解就是“盗号”。

  从攻击目的上区分,撞库有以下几种常见场景:

  1、弱密码嗅探:类似 111111、123456 这样的简单密码因为很多人用,用这样的弱口令去试探大量的账号,就有一定概率能发现一些真正在使用弱密码的账号。

  2、利用拖库数据:原理是大多数人倾向于在多个站点上使用同一个密码(有多少人淘宝和支付宝的密码是一样的?)。当攻击者成功入侵一个安全防护能力很弱的站点 A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点 B 尝试,如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。

  3、针对高权限账号的暴力破解:暴力破解严格来说跟撞库是两种类型的攻击,因为二者从攻击方法和防护方式的角度来看都差不多。这主要是针对一些高权限账号(如网站的管理员)用大量密码去试探,想要盗用的账号目标非常明确。

  如何预防撞库?

  1、强制用户密码的强度

  这点不少站点现在已经做得很好了,但是还有相当多的应用允许用户使用 111111 这样的弱密码。同时也特别注意,不要忽略小程序、App 等非网页环境的注册接口。

  2、定期强制用户更换密码。

  这点主要针对企业内部员工,毕竟记住一个密码已经很痛苦了,这带来的用户体验将会直线下降。

  3、在账户相关接口加强人机防控策略

  人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来,如果能将大部分针对账号的“机器流量”识别出来并拦截,会是安全水位很大的一个提升。从技术手段来说,常见的有使用图形验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等,但采用图形验证码等方式存在用户体验差以及被破解的问题。

  4、重要业务流程采用二次验证

  如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者。

  关于"Web渗透之预防撞库是什么?"的话题到这里就结束了,老男孩网络安全培训课程由经验丰富的技术大牛亲自授课,针对不同阶段的学员制定不同进度的课程,脱产班、周末班、网络班、超级直播班总有一个适合你。想学网络安全的朋友们,点击链接进入网络安全自学视频即可免费试听,也可以咨询在线客服领取免费试听资料。

文章出自:http://qh.itpxw.cn/peixun/software/2022119941.html

文章标题:什么是撞库攻击?老男孩网络安全培训机构



免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉

(责任编辑:深圳学历教育网)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
培训学校
老男孩教育 访问该机构站点 报名留言 加为好友 用户等级:高级会员 用户级别:0 机构名称:老男孩教育 联 系 人:任女士 联系电话:18710030740 联系手机:18710030740 在线客服:起航学习网客服 在 线 QQ:起航学习网客服 电子邮件:768386696@qq.com 网站域名:https://www.oldboyedu.com/ 注册时间:2019-03-20 15:03 最后登录:2023-02-02 13:02
推荐内容