日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、背景：

用戶(hù)數(shù)據(jù)泄露一直是如今互聯(lián)網(wǎng)世界的一個(gè)焦點(diǎn)，從最近的京東撞庫(kù)抹黑事件，到之前的CSDN，如家用戶(hù)數(shù)據(jù)的泄露，服務(wù)商和黑客之間在用戶(hù)數(shù)據(jù)這個(gè)舞臺(tái)上一直在進(jìn)行著曠日持久的攻防戰(zhàn)。

對(duì)于大多數(shù)用戶(hù)而言，撞庫(kù)可能是一個(gè)很專(zhuān)業(yè)的名詞，但是理解起來(lái)卻比較簡(jiǎn)單，撞庫(kù)是黑客無(wú)聊的“惡作劇”，黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶(hù)+密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登陸的用戶(hù)。

以京東之前的撞庫(kù)舉例，首先京東的數(shù)據(jù)庫(kù)并沒(méi)有泄漏。黑客只不過(guò)通過(guò)“撞庫(kù)”的手法，“湊巧”獲取到了一些京東用戶(hù)的數(shù)據(jù)(用戶(hù)名密碼)，而這樣的手法，幾乎可以對(duì)付任何網(wǎng)站登錄系統(tǒng)，用戶(hù)在不同網(wǎng)站登錄時(shí)使用相同的用戶(hù)名和密碼，就相當(dāng)于給自己配了一把“萬(wàn)能鑰匙”，一旦丟失，后果可想而知。所以說(shuō)，防止撞庫(kù)，是一場(chǎng)需要用戶(hù)一同參與的持久戰(zhàn)。

關(guān)于撞庫(kù)事件的始末下文中也會(huì)有詳細(xì)的闡釋。

提及“撞庫(kù)”，就不能不說(shuō)“脫褲”和“洗庫(kù)”。

在黑客術(shù)語(yǔ)里面，”拖庫(kù)“是指黑客入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，把注冊(cè)用戶(hù)的資料數(shù)據(jù)庫(kù)全部盜走的行為，因?yàn)橹C音，也經(jīng)常被稱(chēng)作“脫褲”，360的庫(kù)帶計(jì)劃，獎(jiǎng)勵(lì)提交漏洞的白帽子，也是因此而得名。在取得大量的用戶(hù)數(shù)據(jù)之后，黑客會(huì)通過(guò)一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價(jià)值的用戶(hù)數(shù)據(jù)變現(xiàn)，這通常也被稱(chēng)作“洗庫(kù)”。最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進(jìn)行嘗試登陸，叫做”撞庫(kù)“，因?yàn)楹芏嘤脩?hù)喜歡使用統(tǒng)一的用戶(hù)名密碼，”撞庫(kù)“也可以是黑客收獲頗豐。

下圖是黑客，在“脫褲”“洗庫(kù)”“撞庫(kù)”三個(gè)環(huán)節(jié)所進(jìn)行的活動(dòng)。

二、用戶(hù)數(shù)據(jù)與黑色產(chǎn)業(yè)：

隨著地下產(chǎn)業(yè)鏈日漸成熟，用戶(hù)數(shù)據(jù)可以被迅速地轉(zhuǎn)變成現(xiàn)金。

(1)用戶(hù)賬號(hào)中的虛擬貨幣，游戲賬號(hào)，裝備，都可以通過(guò)交易的方式變現(xiàn)，也就是俗稱(chēng)的“盜號(hào)”。

(2)金融類(lèi)賬號(hào)比如，支付寶，網(wǎng)銀，信用卡，股票的賬號(hào)和密碼，則可以用來(lái)進(jìn)行金融犯罪和詐騙。

(3)最后一些可歸類(lèi)的用戶(hù)信息，如學(xué)生，打工者，老板等，多用于發(fā)送廣告，垃圾短信，電商營(yíng)銷(xiāo)。也有專(zhuān)門(mén)的廣告投放公司，花錢(qián)購(gòu)買(mǎi)這些分門(mén)別類(lèi)的信息。

快速收益和高回報(bào)也讓越來(lái)越多的黑客鋌而走險(xiǎn)。(刑法里非法入侵計(jì)算機(jī)系統(tǒng)罪會(huì)被判處三年到七年有期徒刑)

而對(duì)于，信息被泄露的受害者，根據(jù)泄露信息的種類(lèi)不同，生活也會(huì)受到不同程度的影響。

如上圖，如果你的多種網(wǎng)站和服務(wù)的用戶(hù)名密碼相同，那可能會(huì)蒙受更大的損失。

三、黑客怎樣獲取用戶(hù)數(shù)據(jù)：

黑客為了得到數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，取得用戶(hù)數(shù)據(jù)，通常會(huì)從技術(shù)層面和社工層面兩個(gè)方向入手。

技術(shù)方面大致分為如下幾種：

(1)遠(yuǎn)程下載數(shù)據(jù)庫(kù)文件

這種拖庫(kù)方式的利用主要是由于管理員缺乏安全意識(shí)，在做數(shù)據(jù)庫(kù)備份或是為了方便數(shù)據(jù)轉(zhuǎn)移，將數(shù)據(jù)庫(kù)文件直接放到了Web目錄下，而web目錄是沒(méi)有權(quán)限控制的，任何人都可以訪問(wèn)的;還有就是網(wǎng)站使用了一些開(kāi)源程序，沒(méi)有修改默認(rèn)的數(shù)據(jù)庫(kù);其實(shí)黑客每天都會(huì)利用掃描工具對(duì)各大網(wǎng)站進(jìn)行瘋狂的掃描，如果你的備份的文件名落在黑客的字典里，就很容易被掃描到，從而被黑客下載到本地。

(2)利用web應(yīng)用漏洞

隨著開(kāi)源項(xiàng)目的成熟發(fā)展，各種web開(kāi)源應(yīng)用，開(kāi)源開(kāi)發(fā)框架的出現(xiàn)，很多初創(chuàng)的公司為了減少開(kāi)發(fā)成本，都會(huì)直接引入了那些開(kāi)源的應(yīng)用，但卻并不會(huì)關(guān)心其后續(xù)的安全性，而黑客們?cè)谥滥繕?biāo)代碼后，卻會(huì)對(duì)其進(jìn)行深入的分析和研究，當(dāng)高危的零日漏洞發(fā)現(xiàn)時(shí)，這些網(wǎng)站就會(huì)遭到拖庫(kù)的危險(xiǎn)。

(3)利用web服務(wù)器漏洞

Web安全實(shí)際上是Web應(yīng)用和Web服務(wù)器安全的結(jié)合體;而Web服務(wù)器的安全則是由Web容器和系統(tǒng)安全兩部分組成，系統(tǒng)安全通常會(huì)通過(guò)外加防火墻和屏蔽對(duì)外服務(wù)端口進(jìn)行處理，但Web容器卻是必須對(duì)外開(kāi)放，因此如果Web容器爆出漏洞的時(shí)候，網(wǎng)站也會(huì)遭到拖庫(kù)的危險(xiǎn)。

社工方面大概有如下幾種：

(1)水坑攻擊

黑客會(huì)利用軟件或系統(tǒng)漏洞，在特定的網(wǎng)站上進(jìn)行掛馬，如果網(wǎng)站管理員在維護(hù)系統(tǒng)的時(shí)候不小心訪問(wèn)到這些網(wǎng)站，在沒(méi)有打補(bǔ)丁的前提下，就會(huì)被植入木馬，也會(huì)引發(fā)后續(xù)的拖庫(kù)風(fēng)險(xiǎn)。

(2)郵件釣魚(yú)

黑客會(huì)利用一些免殺的木馬，并將其和一些管理員感興趣的信息綁定，然后通過(guò)郵件發(fā)送給管理員，而當(dāng)網(wǎng)站管理員下載運(yùn)行后，也會(huì)導(dǎo)致服務(wù)器植入木馬，引發(fā)后續(xù)的拖庫(kù)風(fēng)險(xiǎn)。

(3)社工管理員

對(duì)目標(biāo)網(wǎng)站的管理員進(jìn)行社會(huì)工程學(xué)手段，獲取到一些敏感后臺(tái)的用戶(hù)名和密碼。從而引發(fā)的后續(xù)拖庫(kù)。

(4)XSS劫持

有時(shí)黑客也會(huì)為了獲取某一些網(wǎng)站的帳號(hào)信息，他們會(huì)利用網(wǎng)站釣魚(yú)的手段去欺騙用戶(hù)主動(dòng)輸入，但這種方式只能獲取部分帳號(hào)的真實(shí)信息，并沒(méi)有入侵服務(wù)器。

四，黑客怎樣解密得到的數(shù)據(jù)：

通常情況下，數(shù)據(jù)庫(kù)中的個(gè)人信息如，郵箱 電話 真實(shí)姓名 性別 等都是明文存儲(chǔ)的。而密碼通常經(jīng)過(guò)MD5加密之后存儲(chǔ)。黑客可以很輕易地把他需要的且是明文存儲(chǔ)的數(shù)據(jù)從數(shù)據(jù)庫(kù)中剝離出來(lái)。而MD5加密之后的數(shù)據(jù)這需要一定的解密流程才能看到明文。通常解密MD5的方法有，暴力破解，字典破解和彩虹表。

(1)暴力破解

暴力破解這是一種"時(shí)間消耗型"的破解方法，確定了密文的加密方式的前提下，使用相同的加密算法，計(jì)算

M = H(P)

P為所有的明文空間

H為加密算法

M為密文

然后將計(jì)算得到的M和待破解的密文進(jìn)行比較，如果匹配成功，則對(duì)應(yīng)的明文P即為待破解密文的明文。值得注意的是，這個(gè)枚舉P和比較M的過(guò)程往往是在內(nèi)存中進(jìn)行的，也即在計(jì)算的過(guò)程中一邊產(chǎn)生，一邊比較，這次破解結(jié)束后，下一次破解又要重新開(kāi)始從頭枚舉，效率不太高。

(2)字典破解

字典破解本質(zhì)上還是"暴力破解"的一種，在字典破解中，攻擊者是對(duì)所有的明文(M)進(jìn)行預(yù)計(jì)算，將所有的明文的HASH都事先計(jì)算好，并保存起來(lái)。典型的MD5字典如下:

....

password　　5f4dcc3b5aa765d61d8327deb882cf99

admin　　　　21232f297a57a5a743894a0e4a801fc3

cnblog　　　　efbc3548e65e7225dcf43d3918d94e6f

....

在進(jìn)行破解的時(shí)候，破解程序?qū)⒆值溆成銶apping到內(nèi)存中，然后將HASH和待破解的密文進(jìn)行逐條比較(這點(diǎn)和暴力破解是一樣的)，直到找到某條HASH和待破解的密文相同為止。

值得注意的是，基于字典的暴力破解時(shí)間上比單純的內(nèi)存計(jì)算型暴力破解更有效率，只要一次的"字典生成"花費(fèi)一定的時(shí)間，后續(xù)的多次破解都可以重復(fù)使用這個(gè)字典。

注意，這里說(shuō)的"字典"指的對(duì)應(yīng)某個(gè)算法的字典: MD5 Directory、SHA1 Directory、NTLM Directory等等。

總的來(lái)說(shuō)，字典攻擊是對(duì)單純的內(nèi)存型暴力破解的一個(gè)改進(jìn)，它引入了預(yù)處理的思想，但缺點(diǎn)也很明顯，需要占用及其龐大的磁盤(pán)空間，以至于對(duì)于長(zhǎng)度16以上的密碼字典，完整存儲(chǔ)根本不可能。

(3)彩虹表

這是對(duì)暴力破解和字典破解的一種折中的破解技術(shù)，在2003年瑞典的Philippe Oechslin 在Making a Faster Cryptanalytic Time-Memory Trade-Off一文中首次被提出，它有效的利用了預(yù)處理的優(yōu)點(diǎn)，同時(shí)又克服了字典破解消耗太大磁盤(pán)空間的缺點(diǎn)，在這兩者中找到了一個(gè)平衡點(diǎn)。(具體實(shí)現(xiàn)技術(shù)請(qǐng)讀者自行百度)

五，黑客怎樣利用得到的數(shù)據(jù)：

除了販賣(mài)數(shù)據(jù)得到金錢(qián)上的利益之外，黑客還會(huì)把得到的數(shù)據(jù)進(jìn)行整理，制作成社工庫(kù)。利用社工庫(kù)對(duì)其他網(wǎng)站進(jìn)行撞庫(kù)攻擊。撞庫(kù)攻擊實(shí)質(zhì)上就是，以大量的用戶(hù)數(shù)據(jù)位基礎(chǔ)，利用用戶(hù)相同的注冊(cè)習(xí)慣(相同的用戶(hù)名和密碼)，嘗試登陸其它的網(wǎng)站。

隨著社工庫(kù)的日益龐大，越來(lái)越多的用戶(hù)和網(wǎng)站受到來(lái)自撞庫(kù)攻擊的威脅。(現(xiàn)在網(wǎng)上流傳的數(shù)據(jù)庫(kù)已經(jīng)超過(guò)千萬(wàn)級(jí)別，不過(guò)這和某些黑客手中所掌握的數(shù)據(jù)比較起來(lái)只不過(guò)是冰山一角，詳情參見(jiàn)“道哥的黑板報(bào)：中國(guó)黑客傳說(shuō)：游走在黑暗中的精靈”)

不單單是賬戶(hù)密碼的泄露，在龐大的社工庫(kù)面前，用戶(hù)的個(gè)人隱私也是岌岌可危。比如如家賓館2000w數(shù)據(jù)泄露事件，導(dǎo)致眾多會(huì)員開(kāi)房記錄曝光于互聯(lián)網(wǎng)。

QQ群用戶(hù)信息的泄露，也影響到了幾乎所有QQ用戶(hù)的隱私。

再來(lái)看最近的京東撞庫(kù)事件，網(wǎng)上流傳了一張所謂的京東數(shù)據(jù)被泄露的圖片，其中涉及到少量京東用戶(hù)名密碼。

網(wǎng)上的白帽子分析了其中用戶(hù)名密碼的出處，發(fā)現(xiàn)圖片中的用戶(hù)名密碼均在，之前別的網(wǎng)站泄露的數(shù)據(jù)庫(kù)中存在。

這也說(shuō)明了，撞庫(kù)攻擊在本身?yè)碛写罅坑脩?hù)名密碼的基礎(chǔ)上，可以在不攻破目標(biāo)系統(tǒng)的前提下，獲取目標(biāo)系統(tǒng)一定的用戶(hù)信息。

六、用戶(hù)怎樣保護(hù)自己的隱私：

作為中國(guó)千萬(wàn)網(wǎng)民中的一個(gè)，你可能覺(jué)得，我不用網(wǎng)銀，打游戲不充錢(qián)，我沒(méi)有什么被黑的價(jià)值，所以黑客是不會(huì)來(lái)光顧我的。其實(shí)不然，每一個(gè)使用互聯(lián)網(wǎng)服務(wù)的用戶(hù)，在享受快捷方便的時(shí)候，都把自己暴漏在了風(fēng)險(xiǎn)之下。不是黑客會(huì)不會(huì)值得黑你，而是你有沒(méi)有可能被波及。下面是幾條建議有利于你規(guī)避風(fēng)險(xiǎn)。

(1)重要網(wǎng)站/APP的密碼一定要獨(dú)立，猜測(cè)不到，或者用1Password這樣的軟件來(lái)幫你記憶;

(2)電腦勤打補(bǔ)丁，安裝一款殺毒軟件;

(3)盡量不使用IE瀏覽器

(4)支持正版，因?yàn)楸I版的、破解的總是各種貓膩，后門(mén)存在的可能性很大;

(5)不那么可信的軟件，可以安裝到虛擬機(jī)里;

(6)不要在公共場(chǎng)合(如咖啡廳、機(jī)場(chǎng)等)使用公共無(wú)線，自己包月3G/4G，不差錢(qián)，當(dāng)然你可以用公共無(wú)線做點(diǎn)無(wú)隱私的事，如下載部電影之類(lèi)的;

(7)自己的無(wú)線AP，用安全的加密方式(如WPA2)，密碼復(fù)雜些;

(8)離開(kāi)電腦時(shí)，記得按下Win(Windows圖標(biāo)那個(gè)鍵)+L鍵，鎖屏，這個(gè)習(xí)慣非常非常關(guān)鍵;

標(biāo)題名稱(chēng)：撞庫(kù)攻擊：一場(chǎng)需要用戶(hù)參與的持久戰(zhàn)
分享路徑：http://m.5511xx.com/article/dpcoecc.html