人工客服

获取报价

获取资料

方案定制

项目合作

售后服务

咨询热线

400-608-6677 转810
返回顶部

您的位置:首页 - 无人机反制

信息泄露之拖库撞库思考

2019-04-01 2528 神州明达-小明

某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。本文从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉,给互联网网站开发、设计、运维的IT工作人员扩展思路,从而提高互联网网站防范信息泄露的综合安全能力。什么是拖库、撞库?
拖库、撞库名词并无标准权威的定义,但实际理解起来却是极易接受的。 拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、住址等。 撞库是黑客通过收集互联网已泄露的拖库信息,特别是注册用户和密码信息,生成对应的字典表,尝试批量自动登录其他网站验证后,得到一系列可以登录的真实账户。
拖库、撞库如何实现?
拖库实现起来比撞库复杂得多,手段和方法也更加丰富多样。 从实践角度,可以分为技术流拖库和社工流拖库。常见的技术流以入侵、攻击为主实现拖库,如远程下载数据库,利用Web Code 漏洞、Web Services 漏洞、服务器漏洞,挂马、病毒、木马后门等;社工流则以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要手段实现拖库。 再来看一下撞库,存在撞库的根本原因是很多互联网用户在不同网站使用的是相同的账号密码,因此攻击者可以通过获取用户在A网站的账户从而尝试登录B网站。高水准的撞库攻击不易发现,实现起来需很高的技术能力,因此成本较高,当前多数的撞库还是以单脚本登录验证、分布式脚本登录验证,自动代理登录验证,甚至人肉验证等方式来现实。 如何能够降低拖库与撞库风险? 对于拖库、撞库攻击防范亦如APT攻击一样,非一朝一夕一技一法就可解决,需要安全攻与防的综合能力、不同维度的立体保障,才能做到较好的防范效果。具体内容笔者后续会单独讲。
拖库、撞库安全防御策略
笔者经过个人思考以及寻求多方安全专家的意见,参考互联网各类有关拖库、撞库技术文章,结合上述文中提到的各种场景、安全设计等措施,整理出下列安全防御策略供读者参考、学习并提出您的宝贵意见。 第1 条 禁止数据库在互联网裸奔,防范远程暴力猜解、非授权访问及远程登录。 第2 条 禁止管理员账号启动数据库,建立数据库自己的低权限账号运行。 第3 条 及时安装、升级数据库补丁、做好版本管理、备份/ 灾备管理,定期销毁备份的数据。 第4 条 修改默认数据库安全配置,特别是账号口令、默认路径页面等。 第5 条 设置数据库内帐户权限、实例权限、表权限等,保证权限最小化。 第6 条 删除无用的数据库实例文件、说明文件、安装文件、注释文件等。 第7 条 敏感值(密码)的存储务必加密,并保障其足够强壮。 第8 条 建立数据库读、写、查询的监控黑名单、白名单,并实时监控告警。 第9 条 在数据库中构造陷阱库、陷阱表、陷阱字段、陷阱值,便于监控和发现入侵。 第10 条 注册真实的账号用于监控,标记或跟踪。 第11 条 严格控制真实数据的测试应用,务必进行脱敏或模糊处理。 第12 条 数据库管理员与系统管理员权限分离、职责分离。 第13 条 设置系统内的文件保护,防非法拷贝,或使用专用工具防拷贝。 第14 条 及时安装、升级操作系统补丁、做好帐号管理,避免弱口令。 第15条:应用网站安全防御工具,针对性地保护信息安全!

喜欢
分享
咨询

评论

全部评论0

神州明达- 为您的信息安全负责
  • 24小时发货

  • 7天退换货

  • 1年保修期

  • 免费提供方案

填写信息,获取定制方案

友情链接: 手机信号屏蔽柜
  • 400-608-6677 转810    
  • 北京市密云区古北口镇古御路外街11号
  • postmaster@szmid.com
  • 投诉电话:4006086677转700

北京神州明达高科技有限公司 备案号:京ICP备12008205号-5    技术支持:神州明达

.
0.045548s