浅谈撞库防御策略
2016-05-30 11:04:22
安全观察员

2014年,12306遭遇撞库攻击,13万数据泄露;2015年,乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁,今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。

首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过。

图片1.png-244.1kB

密码是明文的,提交了正确的验证码,repeater一下。

图片2.png-266.5kB

回显是账号和密码错误,再repeater一下,还是显示账号和密码错误。说明验证码不用再次请求,可以直接进行撞库。

图片3.png-205.7kB

设置彩虹表

图片4.png-243.5kB

开始撞库,分分钟1000+可用用户名和密码就到手了。

图片5.png-163.5kB

是的,我们就是这样不知不觉就暴露了。

当然,不是所有的网站都能够如此轻松被撞库。网站被撞库,只能说明这个网站的安全性做的不够好。

撞库是什么?

黑客通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表。通过恶意程序和字典表批量尝试登录其他网站,得到一系列可用的真实用户信息。

撞库成功的原因是什么呢?

  • 广大网络用户为了方便记忆,所有网站都使用同一套用户名和密码。
  • 网站登录的安全措施不够。

撞库的危害是什么呢?

  • 就企业而言保护用户的信息安全是基本责任之一,泄露用户信息会缺失公信力,损毁公司品牌形象。
  • 就个人而言小则骚扰电话天天有,大则个人财产不翼而飞。

撞库这么大的危害,作为企业和网站主应该如何防止撞库攻击呢?

通过上面的例子我们可以发现,阻止撞库登录就是要让黑客不能够使用脚本程序进行批量登录。常用的方法有以下几种:

  • 限制同一个IP的请求次数和请求频率
  • 这是一种方法,但是由于IP代理的存在,作用也不是特别大。
  • 使用cookie,flash cookie以及帆布指纹等方法
      目前也是有许多网站在使用这种策略,有一定的作用,但是也是可以被清除掉的。
  • 添加验证码
      当然不能用上例网站中的验证码和验证机制,像这样,没什么用。
    图片6.png-12.2kB

为什么没用呢?

  • 验证机制,请求一次之后可以直接绕过。
  • 就算每一次登录都需要请求验证码,这种验证码的安全性也低,很容易被识别。
    图片7.png-113.5kB
有别于上例中的验证码,极验推出基于行为式验证技术的验证码,从以下三点解决验证码被绕过的问题。
  • 我们利用机器学习,深度学习对人的行为特征进行了大量的分析。建立了安全模型去区分人与机器程序。
    7-7.jpg-15.6kB
(通过模型分析,红色是恶意程序,绿色是正常用户,我们可以清晰的分辨出来,说明人与机器程序 在网络世界的行为是具有很大的差距的。)
  • 动态更新,当网站出现可疑情况时我们能够最快速的进行全网的验证模型更新。
  • 用深度学习构建的神经网络是可以不断的自主学习的,在不断的验证过程中不断的学习新的特征分析,一直在进步的网络。
    验证码gif.gif-822kB
一般情况下网站都会采用以上三种策略组合的方式来抵御撞库攻击,能不能够防得住,验证码起了很关键的作用。

当然还有一些其他高级一些的防御方式:

  • 进行生物特征识别,也就是说不使用我们传统的密码了,当然这是任重而道远的一件事情;
  • 使用手机验证码,性价比不高,物理因素的影响会很大,还有就是接码平台的存在也严重威胁其安全性;
  • 对用户设置密码进行限制和更高级的算法加密,以及对用户的登录环境进行监测等,但是这对很多的企业和网站来说,实现起来是有难度的。
所以使用验证码是目前防止网站被撞库攻击性价比最高的方法,简单而容易实现,但是我们应该选择安全性高的验证码,不然形同虚设,没有实质性的作用。