记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

信息泄露之拖库撞库思考(3)

阅读: 72某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从撞库角度出发和大家探讨一下相关内容和技术。 内容导航1、登录认证的防撞库设计(1)生物特征识别及认证(2)第二信道认证(3)独特的行为策略(行为指纹)(4)使用登录图灵2、登录的撞库攻击识别、监控在系统中加强对撞库的识别和监控,是防范和处置撞库攻击的最佳实践方法和必要手段。笔者认为可以从 “身份”、“ 行为”两个角度出发,构建适合企业自身业务的防撞库措施。(1)身份的识别监控(2)行为的识别监控1、登录认证的防撞库设计(1)生物特征识别及认证随着生物特征识别技术的发展,当

信息泄露之拖库撞库思考(2)

阅读: 160某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。 内容导航1、用户密码的防拖库设计(1)加盐法(2)混淆法(3)陷阱法2、数据库系统的防拖库识别(1)数据库系统的访问控制(2)数据库的运维3、运维监控的防拖库监测1、用户密码的防拖库设计(1)加盐法大多数主流互联网网站,对账号密码等信息都采用加密存储,(明文存储的不在本文讨论之内),为了防止拖库后被破解,采用加盐 (+salt)的加密已经被广泛认可,笔者认为这的确是一种极好的创新,因此将其列在第一位,同时建议salt位数至少6位。难易程度: 1颗星
发布时间:2016-06-09 08:25 | 阅读:177502 | 评论:0 | 标签:运维安全 信息泄露 拖库 拖库 技术 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库 数据库拖库

信息泄露之拖库撞库思考(1)

阅读: 16某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。本文从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉,给互联网网站开发、设计、运维的IT工作人员扩展思路,从而提高互联网网站防范信息泄露的综合安全能力。 什么是拖库、撞库?拖库、撞库名词并无标准权威的定义,但实际理解起来却是极易接受的。拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、住址等。撞库是黑客通过收集互联网已泄露的拖库信息,特别是注册用户和密码信息,生成对应的字典表,尝试批量自动登录其他
发布时间:2016-05-24 08:10 | 阅读:94275 | 评论:0 | 标签:技术分享 信息泄露 拖库 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云