查看原文
其他

浅谈撞库防御策略

极验 2018-09-04
2014年12306遭遇撞库攻击,13万数据泄露;2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁,今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。

首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过。

提交正确的验证码,repeater两次,回显都是提示账户名和密码错误。说明该网站验证码可绕过

设置彩虹表,就是黑客手中已有的账户名和密码。网络上面有很多可以使用的彩虹表。

开始撞库了,分分钟获得一千加有用的用户名和密码。可登录的用户名和密码会暴露我们的很多信息。

登录进去之后,姓名,身份证,工作单位,手机号,家庭住址什么信息都有。我们就这样暴露了。

当然,并不是所有的网站都是这样轻轻松松就被撞库啦,只能说这个网站的安全维护做的真的是不好。
撞库知识科普一下
撞库是什么?黑客通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表。通过恶意程序和字典表批量尝试登录其他网站,得到一系列可用的真实用户信息。
撞库成功的原因是什么呢?1. 广大网络用户为了方便记忆,所有网站都使用同一套用户名和密码。2. 网站登录的安全措施不够。
撞库的危害是什么呢?1. 就企业而言保护用户的信息安全是基本责任之一,泄露用户信息会缺失公信力,损毁公司品牌形象。2. 就个人而言小则有可能骚扰电话天天有,大则个人财产不翼而飞。


真是太吓人了有木有!!!
那么要如何防止撞库攻击呢?
限制同一个IP的请求次数和请求频率
这是一种方法,但是由于IP代理的存在,作用也不是特别大。
使用cookie,flash cookie等方法
目前也是有许多网站在使用这种策略,有一定的作用,但是也是可以被清除掉的。
添加验证码
当然不能用上例网站中的验证码和验证机制,像这样,没什么用。
为什么没用呢?1. 验证机制不安全,请求一次之后可以直接绕过。2. 就算每一次登录都需要请求验证码,这种验证码的安全性也低,很容易被识别。
像这样的自动识别验证码脚本已经相当的成熟,识别验证码的速度和准确性比我们人类还高

有别于上例中的验证码,极验验证推出基于行为式验证技术的验证码,从三个方面解决验证码被绕过的问题。1. 我们利用机器学习,深度学习对人的行为特征进行了大量的分析。建立了安全模型去区分人与机器程序。
通过模型分析,红色是恶意程序,绿色是正常用户,我们可以清晰的分辨出来,说明人与机器程序在网络世界的行为是具有很大的差距的 小极助手

2. 动态更新,当网站出现可疑情况时我们能够最快速的进行全网的验证模型更新。3. 用深度学习构建的神经网络是可以不断的自主学习的,在不断的验证过程中不断的学习新的特征分析,一直在进步的网络。

 
拖动滑块完成拼图实现验证,平均验证时间不超过2秒

一般情况下网站都会采用以上三种策略组合的方式来抵御撞库攻击,能不能够防得住,验证码起了很关键的作用。
当然还有一些其他高级一些的防御方式
进行生物特征识别,也就是说不使用我们传统的密码了,当然这是任重而道远的一件事情;使用手机验证码,性价比不高,物理因素的影响会很大,还有就是接码平台的存在也严重威胁其安全性;对用户设置密码进行限制和更高级的算法加密,以及对用户的登录环境进行监测等,但是这对很多的企业和网站来说,实现起来是有难度的。

所以使用验证码是目前防止网站被撞库攻击性价比最高的方法,简单而容易实现,但是我们应该选择安全性高的验证码,不然形同虚设,没有实质性的作用。


    公众号ID:geetest_jy      极验验证,开启验证安全2.0时代。提供更安全更便捷的验证安全服务。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存