【网络安全培训班】Web渗透之预防撞库是什么？

       什么是撞库攻击？撞库攻击可能对用户造成哪些危害？科技在高速发展，网络是把双刃剑，在带给我们益处的同时，也伴随着一定的风险，近期发生多起撞库事件，也让越来越多的人关注这个问题，那它到底是什么？又该如何防范？请看下文：

       什么是撞库攻击？

       按字面意思解读，就是“碰撞数据库”。“碰撞”意味着碰运气，即不一定能成功；而“数据库”中往往存储着大量敏感数据，比如我们登录一个网站所需要的用户名、密码，再比如手机号、身份证号等个人隐私信息。

       撞库的主要场景：试图获取正确的账号/密码组合，大白话理解就是“盗号”。

       从攻击目的上区分，撞库有以下几种常见场景：

       1、弱密码嗅探：类似 111111、123456 这样的简单密码因为很多人用，用这样的弱口令去试探大量的账号，就有一定概率能发现一些真正在使用弱密码的账号。

       2、利用拖库数据：原理是大多数人倾向于在多个站点上使用同一个密码（有多少人淘宝和支付宝的密码是一样的？）。当攻击者成功入侵一个安全防护能力很弱的站点 A，并拿到其数据库的所有用户名密码组合，然后再拿着这些组合去站点 B 尝试，如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。

       3、针对高权限账号的暴力破解：暴力破解严格来说跟撞库是两种类型的攻击，因为二者从攻击方法和防护方式的角度来看都差不多。这主要是针对一些高权限账号（如网站的管理员）用大量密码去试探，想要盗用的账号目标非常明确。

       如何预防撞库？

       1、强制用户密码的强度

       这点不少站点现在已经做得很好了，但是还有相当多的应用允许用户使用 111111 这样的弱密码。同时也特别注意，不要忽略小程序、App 等非网页环境的注册接口。

       2、定期强制用户更换密码。

       这点主要针对企业内部员工，毕竟记住一个密码已经很痛苦了，这带来的用户体验将会直线下降。

       3、在账户相关接口加强人机防控策略

       人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来，如果能将大部分针对账号的“机器流量”识别出来并拦截，会是安全水位很大的一个提升。从技术手段来说，常见的有使用图形验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等，但采用图形验证码等方式存在用户体验差以及被破解的问题。

       4、重要业务流程采用二次验证

       如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者。

       关于"Web渗透之预防撞库是什么？"的话题到这里就结束了，老男孩网络安全培训课程由经验丰富的技术大牛亲自授课，针对不同阶段的学员制定不同进度的课程，脱产班、周末班、网络班、超级直播班总有一个适合你。想学网络安全的朋友们，点击链接进入网络安全自学视频即可免费试听，也可以咨询在线客服领取免费试听资料。

　　推荐阅读：

       常用的云安全防护措施有哪些？老男孩网络安全培训机构

       网络安全中的威胁可以分为几类？老男孩网络安全培训班

       【网络安全培训班】该如何有效应对威胁密码安全的攻击模式？