码迷,mamicode.com
首页 > 其他好文 > 详细

浅谈撞库防御策略

时间:2016-04-22 15:59:38      阅读:223      评论:0      收藏:0      [点我收藏+]

标签:

2014年12306遭遇撞库攻击,13万数据泄露;2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁,
今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。

 

首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过。
 
技术分享
密码是明文的,提交了正确的验证码,repeater一下
技术分享
回显是账号和密码错误,再repeater一下,还是显示账号和密码错误。说明验证码不用再次请求,可以直接进行撞库。
技术分享
设置彩虹表。
技术分享
开始撞库,分分钟1000+可用用户名和密码就到手了。
技术分享
 
是的,我们就是这样不知不觉就暴露了。
当然不是所有的网站都能够如此轻松被撞库,说明这个网站的安全性做的真的不好。
撞库是什么?
黑客通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表。通过恶意程序和字典表批量尝试登录其他网站,得到一系列可用的真实用户信息。
 
撞库成功的原因是什么呢?
  1. 广大网络用户为了方便记忆,所有网站都使用同一套用户名和密码。
  1. 网站登录的安全措施不够。
 
撞库的危害是什么呢?
  1. 就企业而言保护用户的信息安全是基本责任之一,泄露用户信息会缺失公信力,损毁公司品牌形象。
  1. 就个人而言小则骚扰电话天天有,大则个人财产不翼而飞。
撞库这么大的危害,作为企业和网站主应该如何防止撞库攻击呢?
通过上面的例子我们可以发现,阻止撞库登录就是要让黑客不能够使用脚本程序进行批量登录。常用的方法有以下几种:
 限制同一个IP的请求次数和请求频率
这是一种方法,但是由于IP代理的存在,作用也不是特别大。
 
使用cookie,flash cookie以及帆布指纹等方法
目前也是有许多网站在使用这种策略,有一定的作用,但是也是可以被清除掉的。
 
添加验证码
当然不能用上例网站中的验证码和验证机制,像这样,没什么用。
技术分享
为什么没用呢?
  1. 验证机制,请求一次之后可以直接绕过。
  1. 就算每一次登录都需要请求验证码,这种验证码的安全性也低,很容易被识别。
 
技术分享
 
有别于上例中的验证码,极验推出基于行为式验证技术的验证码,从以下三点解决验证码被绕过的问题。
  1. 我们利用机器学习,深度学习对人的行为特征进行了大量的分析。建立了安全模型去区分人与机器程序。
技术分享
(通过模型分析,红色是恶意程序,绿色是正常用户,我们可以清晰的分辨出来,说明人与机器程序在网络世界的行为是具有很大的差距的。)
  1. 动态更新,当网站出现可疑情况时我们能够最快速的进行全网的验证模型更新。
  1. 用深度学习构建的神经网络是可以不断的自主学习的,在不断的验证过程中不断的学习新的特征分析,一直在进步的网络。
 
技术分享
 
一般情况下网站都会采用以上三种策略组合的方式来抵御撞库攻击,能不能够防得住,验证码起了很关键的作用。
当然还有一些其他高级一些的防御方式
进行生物特征识别,也就是说不使用我们传统的密码了,当然这是任重而道远的一件事情;
使用手机验证码,性价比不高,物理因素的影响会很大,还有就是接码平台的存在也严重威胁其安全性;
对用户设置密码进行限制和更高级的算法加密,以及对用户的登录环境进行监测等,但是这对很多的企业和网站来说,实现起来是有难度的。
所以使用验证码是目前防止网站被撞库攻击性价比最高的方法,简单而容易实现,但是我们应该选择安全性高的验证码,不然形同虚设,没有实质性的作用。

 

 

浅谈撞库防御策略

标签:

原文地址:http://www.cnblogs.com/lyf83/p/5421291.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!