你好 很高兴为你解答
撞库名词解释:以大量的用户数据位基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站
简单一点就就是:就是你从别人那里复制了一大串钥匙,然后跑到楼里试着去开不同的门。
希望能帮到你
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。2014年12月25日,12306网站用户信息在互联网上疯传。对此,12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。据悉,此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过“撞库攻击”所获得。
说实话,乍一看,还以为是这个同学入侵了志愿填报系统。但是实际情况据说是:四川西昌某中学的吉某某升学无望,为泄私愤在家中通过自己手机,登录中考志愿填报系统,篡改了上百名同学的中考志愿。该同学曾复制班主任发在微信群里的2020年度初三毕业生名单,登录凉山州中考志愿填报系统,尝试输入密码“12345678”,进入他人账户篡改志愿。
志愿填报已经停止,该部分学员将无法被录取升入更高一级学府,这些学生面临无法上学的严重问题。现在各部门在紧急沟通和协调,并且吉某某同学也因为非法破坏计算机信息系统而被刑事拘留。
看到这个信息,凯哥一不小心就联想到了:2014年的12306的一起事件:2014年12月26日,旅客可以通过 *** 购买明年2月23日大年初五的车票,春运返程抢票高峰也随即到来。这时官方购票网站12306却被曝用户资料大量泄露,很多用户身份证、邮箱等敏感信息在 *** 上流传,给广大旅客造成信息安全威胁,甚至有人在 *** 上反映,因信息泄露,预订的车票被人恶作剧退掉了。
据说这起事件是因为有人没有买到春节返程的车票,然后搜集了好多用户资料,一个一个的去12306网站去试导致的。
当然现在的12306已经有了很多的验证身份的措施和功能,而关乎中考志愿填报的系统难道就没有身份验证么?
在此,凯哥不禁想问一下几个问题:
登陆系统的账号不需要动态验证么?
信息修改的时候不需要验证么?
系统中没有通知紧急联系人么?
将系统的密码复杂度提升一下不行么?
强制用户之一次登陆后必须修改密码不行么?
多的问题都不需要考虑,但凡把这几个问题做好,也不至于出现这样的问题吧!
登陆系统的时候,输入手机号做个登陆验证不难吧?
虽然初中生,很多学校规定不允许携带手机,把家长的手机号做为登陆的手机号也是可以的吧?
甚至将父母的手机号作为必要的紧急联系方式和登陆账号不行么?
重要的填报信息被修改了,系统应该给修改者发送修改消息的通知,这个也不难吧?
老师将系统的默认登陆密码放到了群里,那学生之一次登陆时为什么不强制修改密码呢?
单从功能层面就能解决这个基本的问题。而且该同学还只是使用了我们IT行业中最基本的“撞库”操作而已,并没有使用其他黑客技术。
可能有人不明白什么叫做“撞库”,凯哥稍微普及一下。
所谓的“撞库“就是:黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
所以,该同学从微信群中获取到了一个简单的“12345678”就能够将百十名同学的中考志愿给修改了。这个事件真的说明:
系统设计的合理性和科学性真的很重要;
重要系统的密码真的要好好的设置;
做人,还是要善良啊。莫伸手,伸手必被抓!
小小的皮一下:干坏事,不能用自己的私人设备啊(声明:不是教大家干坏事!)
撞库名词解释:以大量的用户数据位基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站
简单一点就就是:就是你从别人那里复制了一大串钥匙,然后跑到楼里试着去开不同的门。
撞库就是黑客无聊的“恶作剧”。黑客首先会通过收集互联网已泄露的用户+密码信息,生成对应的字典表,然后再用字典中罗列的用户和密码,尝试批量登陆其他网站,这样,一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息。
撞库的防范主要在用户方面,用户的密码太常见或者用户的多个帐号使用同一个密码是问题的根源,可以在用户注册的时候,对用户注册的密码在服务器端进行检测,然后进行安全等级划分并给予用户提示。
撞库是一个看起来很专业,但实际理解起来却很简单的名词。它其实就是黑客无聊的“恶作剧”。黑客首先会通过收集互联网已泄露的用户+密码信息,生成对应的字典表,然后再用字典中罗列的用户和密码,尝试批量登陆其他网站,这样,一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带来负面影响。
比如:最近京东发生的抹黑事件,实际上,黑客就是利用“撞库”手法,“凑巧”获取到了一些京东用户的数据(用户名密码),然后通过模仿用户评论,给京东留下了大量抹黑的差评。
撞库攻击也就是黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户,这样一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带来负面影响。简单理解撞库就是黑客无聊的“恶作剧”,不过得看社会危害性如何。
怎么防御撞库攻击
(1)重要网站/APP的密码一定要独立,猜测不到,或者用1Password这样的软件来帮你记忆;
(2)电脑勤打补丁,安装一款杀毒软件;
(3)尽量不使用IE浏览器
(4)支持正版,因为盗版的、破解的总是各种猫腻,后门存在的可能性很大;
(5)不那么可信的软件,可以安装到虚拟机里;
(6)不要在公共场合(如咖啡厅、机场等)使用公共无线,自己包月3G/4G,不差钱,当然你可以用公共无线做点无隐私的事,如下载部电影之类的;
(7)自己的无线AP,用安全的加密方式(如WPA2),密码复杂些;
(8)离开电脑时,记得按下Win(Windows图标那个键)+L键,锁屏,这个习惯非常非常关键;
中西部五省区市首次联合带量采购常规药品 最高降价83.54% 新华社重庆11月28日电(记者周闻韬)记者从重庆市医疗保障局获悉,重庆、贵州、云南、湖南、广西五省区市日前组成采购联盟,在重庆市...
现在各种各样的信息安全是真的值得我们去严峻这一带的,所以每一个人都应该有自己的本领去保护我们在互联网上的一些安全问题。尤其是现在我们有很多人都在质疑微信监控问题,比如:如果不监控的话,为什么还能定期给...
呜呼。我也是在找结局的孩子,麻烦这位仁兄也给我发个呗,么么哒 突然无辜被人狠踩了一脚的新鞋,火锅里守了很久却被人不经意的夹走的肉,被理发师理坏了还得给钱的发型,走了很远却发现关门了的店铺,编辑了很久却...
第三方安全研究人员剖析称该进犯是APT 29(CozyBear)安排建议的进犯活动,微软称APT 29为YTTRIUM。 截止现在,微软研究人员称还没有满足的依据标明该进犯活动来源于APT 29。 A...
冬天给孩子穿鞋不可以很大或很小,高跟鞋,高筒靴等一样不利小宝宝脚部的生长发育,乃至导致足部畸型,挑选防寒保暖地面防滑,硬软适度的鞋就可以,那麼冬季小宝宝不可以穿什么鞋?下边我产生详细介绍。 冬季...