邪恶贝壳

黑客撞库有哪些方式

分享
回答 1
浏览 81
  • 房乐 2 CISAW CISP-PTE
    房乐2 CISAW CISP-PTE

    黑客撞库方式有:用n个密码字典撞m个账号、用几个密码撞n个账号、用n组对应的账号密码来再撞库。

    撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

    1. 用n个密码字典撞m个账号:这个的表象是,一个账号在某个较短的时间内,可能会有多个密码尝试多个账号。所以,可以在账号层加限制措施,比如:一天内,一个账号,密码错误次数超过5次时,1天之内禁止登陆(或者校验手机短信/密保问题之后才能登陆)。

    2. 用几个密码撞n个账号:这个的表象是,找几个常用密码对多个账号进行碰撞,所以,可以统计一段时间内每个密码的错误次数,超过一定阈值时,这个密码在一段时间内禁止登录(或者校验手机短信/密保问题之后才能登陆)。

    3. 用n组对应的账号密码来再撞库:把常用的多组密码和多组常用的账号生成相应字典,将两个字典进行碰撞,这种情况的撞库单纯从账号、密码的维度来看,不会有明显的异常。所以,需要一些其他的应对措施。比如:

      • IP封禁,如果一段时间内,单个IP地址,密码错误次数超过阈值,则禁止这个IP一段时间再登录(或者校验手机短信/密保问题之后才能登陆)。不过,如大家所说,现在代理IP相当廉价,从IP层面来封禁基本上没啥作用。

      • 建立IP画像库,对代理IP、IDC IP等高危的IP直接禁止登陆(或者校验手机短信/密保问题之后才能登陆)。自己建立IP画像库成本可能会有点高,可以考虑采购安全厂商的类似服务。

      • 现在比较火的行为验证码,比如:拖条、点选、拼图等各种花样的验证码。只是说,如果之前登录不需要验证码,现在要加上一个验证码,估计要和产品撕逼。一般来说最后为了后期的运营,产品也会同意加上验证码。

      • 从设备层面来识别和封禁,通过在客户端植入sdk,收集用户端的设备信息,从设备层面来做高频策略,或者,直接识别出非正常的设备,然后对设备进行封杀。

      • 从行为层面来识别和封禁,和上面一条一样,通过客户端植入sdk,收集用户在登录页面的交互行为,通过机器学习、大数据建模,训练出正常用户、异常用户的行为模型,在交互行为层面,将撞库的行为识别出来。这个需要有预先训练好的行为模型,现在机器学习那么好,不说大家也都知道,自己训练一个模型肯定需要很多标注数据,这也就意味着成本。所以,还是建议寻找安全厂商还做,毕竟专业的人做专业的事,靠谱!

    分享
    微信二维码
  • Simon 2 风险管理(专业级)RM/PL CICSA
    Simon2 风险管理(专业级)RM/PL CICSA

    黑客撞库有以下这些方式:

    • 口令监听:很多网络服务在询问和验证远程用户认证信息时,认证信息都是以明文形式进行传输的,如Telnet、FTP和HTTP等都使用明文传输,这意味着网络中的窃听者只需使用协议分析器就能查看到认证信息,从而分析出用户的口令。如果获取的数据包是加密的,还要使用解密算法解密。

    • 截取/重放:有的系统会将服务器中的用户信息加密后存放,用户在传输认证信息时也先进行加密,这样虽然能防止窃听者直接获得明文口令,但使用截取/重放攻击,攻击者只要在新的登录请求中将截获的信息提交给服务器,就可以冒充登录。

    • 穷举攻击:也称为暴力破解,是字典攻击的一种特殊形式。一般从长度为1的口令开始,按长度递增,尝试所有字符的组合方式进行攻击。利用穷举攻击获取密码只是时间问题,是密码的终结者。暴力破解理论上可以破解任何密码,但如果密码过于复杂,暴力破解需要的时间会很长。如果用户口令较短,攻击者可以使用字符串的全集作为字典,来对用户口令进行猜测。下面简要分析一下穷举攻击的难度。

    • 简单口令猜测:很多用户使用自己或家人的生日、电话号码、房间号码、简单数字或者身份证号码中的几位作为口令;也有人使用自己、孩子、配偶或宠物的名字。在详细了解用户的社会背景之后,黑客可以列举出多种可能的口令,并在很短的时间内完成猜测攻击。此外,很多用户不更改系统或设备的默认用户名和口令,这也使得口令很容易被破解。

    • 字典攻击:如果猜测攻击不成功,黑客可以继续扩大攻击范围,采用字典攻击的方法。字典攻击采用口令字典中事先定义的常用字符去尝试匹配口令。口令字典是一个很大的文本文件,可以通过自己编辑或者由字典工具生成,里面包含了单词和数字的组合,或黑客收集的一些常见口令。如果口令就是一个单词或者是简单的数字组合,那么破解者就可以很轻易地破解密码。因此,许多系统都建议用户在口令中加入特殊字符,以增加口令的安全性。

    • 伪造服务器攻击:攻击者通过伪造服务器来骗取用户认证信息,然后冒充用户进行正常登录。

    • 口令泄露:攻击者通过窥探、社会工程、垃圾搜索和植入木马等手段,窃得用户口令;或用户自己不慎将口令告诉别人;或将口令写在其他地方被别人看到,造成口令的泄露。其中,社会工程学攻击通过人际交往这一非技术手段,以欺骗或套取的方式来获得口令。

    • 直接破解系统口令文件:攻击者可以寻找目标主机的安全漏洞和薄弱环节,窃取存放系统口令的文件,然后离线破译加密过的口令,从而得到系统中所有的用户名和口令。

    分享
    微信二维码
    • 推荐文章
    相关问题
    热门回答
    写回答
    © 2022 WANGAN.COM 帮助网安从业者成长;关注产业发展,做网络安全忠诚卫士!