记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

互联网现状/安全报告——撞库攻击

2018年《互联网现状/安全—撞库攻击》报告基于2018年5月到6月之间在Akamai Intelligent Edge Platform上发生的超过83亿次的恶意登录尝试。该报告对最新僵尸网络策略和趋势进行了研究(包括目标行业和国家/地区),并深入探究了以不同方式对两大金融机构进行的持续数日的多个僵尸网络撞库攻击。该报告还探索了撞库攻击的数量不断攀升的原因,以及组织提升其爬虫程序防御力的需求。Credential stuffing attacks(撞库攻击)不断发展成为一个问题,尤其是在金融领域,因为在金融领域僵尸网络可以模拟大量的欺骗性的尝试登陆来形成DDoS攻击的效果。攻击中攻击者利用数据泄露获得的用户名和密码登
发布时间:2018-09-25 12:20 | 阅读:64972 | 评论:0 | 标签:观察 撞库攻击

信息泄露之拖库撞库思考(3)

阅读: 72某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从撞库角度出发和大家探讨一下相关内容和技术。 内容导航1、登录认证的防撞库设计(1)生物特征识别及认证(2)第二信道认证(3)独特的行为策略(行为指纹)(4)使用登录图灵2、登录的撞库攻击识别、监控在系统中加强对撞库的识别和监控,是防范和处置撞库攻击的最佳实践方法和必要手段。笔者认为可以从 “身份”、“ 行为”两个角度出发,构建适合企业自身业务的防撞库措施。(1)身份的识别监控(2)行为的识别监控1、登录认证的防撞库设计(1)生物特征识别及认证随着生物特征识别技术的发展,当

信息泄露之拖库撞库思考(2)

阅读: 160某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。 内容导航1、用户密码的防拖库设计(1)加盐法(2)混淆法(3)陷阱法2、数据库系统的防拖库识别(1)数据库系统的访问控制(2)数据库的运维3、运维监控的防拖库监测1、用户密码的防拖库设计(1)加盐法大多数主流互联网网站,对账号密码等信息都采用加密存储,(明文存储的不在本文讨论之内),为了防止拖库后被破解,采用加盐 (+salt)的加密已经被广泛认可,笔者认为这的确是一种极好的创新,因此将其列在第一位,同时建议salt位数至少6位。难易程度: 1颗星
发布时间:2016-06-09 08:25 | 阅读:177242 | 评论:0 | 标签:运维安全 信息泄露 拖库 拖库 技术 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库 数据库拖库

信息泄露之拖库撞库思考(1)

阅读: 16某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。本文从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉,给互联网网站开发、设计、运维的IT工作人员扩展思路,从而提高互联网网站防范信息泄露的综合安全能力。 什么是拖库、撞库?拖库、撞库名词并无标准权威的定义,但实际理解起来却是极易接受的。拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、住址等。撞库是黑客通过收集互联网已泄露的拖库信息,特别是注册用户和密码信息,生成对应的字典表,尝试批量自动登录其他
发布时间:2016-05-24 08:10 | 阅读:93884 | 评论:0 | 标签:技术分享 信息泄露 拖库 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库

htpwdScan — 一个简单的HTTP暴力破解、撞库攻击脚本

htpwdScan功能 李姐姐之前跟我们分享了子域名枚举工具subDomainBrute《subDomainsBrute — 改进渗透测试时暴力枚举子域名的python脚本》,这回带给我们htpwdScan htpwdScan 是一个简单的HTTP暴力破解、撞库攻击脚本: 1. 支持批量校验并导入HTTP代理,低频撞库可以成功攻击大部分网站,绕过大部分防御策略和waf 2. 支持直接导入互联网上泄露的社工库,发起撞库攻击 3. 支持导入超大字典 4. 其他细微功能:随机X-Forwarded-For、随机SessionID,支持Basic Auth,支持MD5 Hash等 下面是几个简单示例 HTTP Basic认证 htpwdScan.py -u=http://auth.58.com/ -basic user
发布时间:2015-04-24 02:00 | 阅读:150477 | 评论:0 | 标签:工具 htpwdScan htpwdScan.py HTTP暴力破解 lijiejie 低频撞库 撞库攻击 撞库攻击脚本

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云