>科技>>正文

浅谈撞库防御策略

原标题:浅谈撞库防御策略

  2014年12306遭遇撞库攻击,13万数据泄露;2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁,今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。

  首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过。

  

  密码是明文的,提交了正确的验证码,repeater一下

  

  回显是账号和密码错误,再repeater一下,还是显示账号和密码错误。说明验证码不用再次请求,可以直接进行撞库。

  

  设置彩虹表。

  

  开始撞库,分分钟1000+可用用户名和密码就到手了。

  

  是的,我们就是这样不知不觉就暴露了。

  当然不是所有的网站都能够如此轻松被撞库,说明这个网站的安全性做的真的不好。

  撞库是什么?

  黑客通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表。通过恶意程序和字典表批量尝试登录其他网站,得到一系列可用的真实用户信息。

  撞库成功的原因是什么呢?

  1. 广大网络用户为了方便记忆,所有网站都使用同一套用户名和密码。

  2. 网站登录的安全措施不够。

  撞库的危害是什么呢?

  1. 就企业而言保护用户的信息安全是基本责任之一,泄露用户信息会缺失公信力,损毁公司品牌形象。

  2. 就个人而言小则骚扰电话天天有,大则个人财产不翼而飞。

  撞库这么大的危害,作为企业和网站主应该如何防止撞库攻击呢?

  通过上面的例子我们可以发现,阻止撞库登录就是要让黑客不能够使用脚本程序进行批量登录。常用的方法有以下几种:

  限制同一个IP的请求次数和请求频率

  这是一种方法,但是由于IP代理的存在,作用也不是特别大。

  使用cookie,flash cookie以及帆布指纹等方法

  目前也是有许多网站在使用这种策略,有一定的作用,但是也是可以被清除掉的。

  添加验证码

  当然不能用上例网站中的验证码和验证机制,像这样,没什么用。

  为什么没用呢?

  1. 验证机制,请求一次之后可以直接绕过。

  2. 就算每一次登录都需要请求验证码,这种验证码的安全性也低,很容易被识别。

  

  有别于上例中的验证码,极验推出基于行为式验证技术的验证码,从以下三点解决验证码被绕过的问题。

  1. 我们利用机器学习,深度学习对人的行为特征进行了大量的分析。建立了安全模型去区分人与机器程序。

  

  (通过模型分析,红色是恶意程序,绿色是正常用户,我们可以清晰的分辨出来,说明人与机器程序在网络世界的行为是具有很大的差距的。)

  2. 动态更新,当网站出现可疑情况时我们能够最快速的进行全网的验证模型更新。

  3. 用深度学习构建的神经网络是可以不断的自主学习的,在不断的验证过程中不断的学习新的特征分析,一直在进步的网络。

  一般情况下网站都会采用以上三种策略组合的方式来抵御撞库攻击,能不能够防得住,验证码起了很关键的作用。

  当然还有一些其他高级一些的防御方式

  进行生物特征识别,也就是说不使用我们传统的密码了,当然这是任重而道远的一件事情;

  使用手机验证码,性价比不高,物理因素的影响会很大,还有就是接码平台的存在也严重威胁其安全性;

  对用户设置密码进行限制和更高级的算法加密,以及对用户的登录环境进行监测等,但是这对很多的企业和网站来说,实现起来是有难度的。

  所以使用验证码是目前防止网站被撞库攻击性价比最高的方法,简单而容易实现,但是我们应该选择安全性高的验证码,不然形同虚设,没有实质性的作用。返回搜狐,查看更多

责任编辑:

声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
阅读 ()
投诉
免费获取