栏目

首页 首页 黑防查看内容

撞库应用的原理和如何防止撞库

最近更新| 发布者: 站长-黑杰克| 查看: |

   撞库就是通过收集互联网已泄露信息来生成对应字典表,来尝试批量登录其他网站后就能得到一系列可以登录的用户了。
   如果以京东撞库实例来说,京东wep破解数据库并没有泄露只不过黑客通过撞库的手法凑巧获取了一些京东用户的数据,也就是用户名和密码,这种手法的话几乎就能对付任何网站登录系统,广大用户在不同网站登录时使用相同的用户名和密码,这就等于直接给黑客配了一把万能钥匙,当某个网站的信息丢失其后果就是能让黑客们可登陆多个网站,因此想要避免这种情况发生只能防止撞库事件的发生。

   还有除了撞库外在黑客术语中还有拖库,拖库就是指黑客入侵有价值的网络站点就能把注册用户的资料数据库全部盗走的行为;当相关黑客取得大量的用户数据之后,黑客就会通过一系列的技术手段和黑色产业链将有价值的用户数据进行变现,这种手段也被称作为洗库;不过这些手段和撞库相比的话还是撞库能够让黑客收获比较丰厚;目前随着地下产业链日渐成熟,黑客就能将获得的用户数据迅速转变成现金,即:1、黑客可以用获得账号中的虚拟货币、游戏账号、装备都能通过交易方式进行变现;2、黑客可以用获得的金融类账号,像支付宝、网银、信用卡、股票等账号及密码,也可以进行获得现金;3、黑客也能用获得的学生、打工者和老板凳信息来用于发送广告及垃圾短信也能获得相应的现金收入。
   另外在撞库中黑客为了能够得到相应的数据库访问权限,也会从技术层面和社工层面2个方向进行入手,即:1、会采用远程下载数据库文件方式。这种方式主要就是利用管理员缺乏安全意识,在做数据库备份或者为了方便数据转移,将数据库文件直接放到web目录下,大家知道很多时候在web目标下的文件是没有权限控制的任何人都可以进行访问;更有一些管理员在网站上使用了一些开源程序,没有修改默认的数据库这样就会导致让黑客利用扫描工具将管理员备份的文件直接落到黑客的字典中,让黑客轻松将文件下载到本地;2、会采用web应用漏洞方式。现阶段随着开源项目的成熟发展,各种web开源应用和开源开发框架的出现,就让很多初创的公司为了能够有效减少开发成本直接进行引入一些开源应用,但是却并不会关心其后续安全性,而黑客们就能在知道目标代码后就会对其进行深入分析和研究,当高危的零日漏洞被发现后就会进行攻击以得到获得利益目的。站长推荐—如何防御DDOS攻击


文章由天启科技原创,抄袭必究,转载请注明:
本文地址:http://www.goodgoodhack.com/anquanfangyu/2498.html
文章由天启科技站长黑杰克原创,免费学习黑客技术,业务联系站长QQ35602500

最新视频