聊聊黑客术语“拖库”及“撞库”

每个行业都有一些行业“黑话”,搞得外行人听起来“一头雾水”。其中在网络安全行业,就有这么两个词——“拖库”及“撞库”。对于这些两个行业词语,昆明亭长朗然科技有限公司网络安全研究员董志军解释说:“库”简单说就是“用户资料数据库、账号信息数据库”。“拖”和“撞”是两个动词,是“打包、窃走、下载”和“撞击、对比、匹配”的意思。

什么叫“拖库”

所谓“拖库”,是指黑客入侵有价值的网络站点,盗走用户资料数据库的行为,资料主要指注册用户的用户名和密码,因为谐音,也经常被称作“脱裤”。

被拖库的网站一般是小网站,这些网站的后台服务器通常存在漏洞,安全措施也不到位,容易遭受黑客入侵,拖出数据库。

什么叫“撞库”

黑客通过拖库得到小网站的用户名和密码后,并不会就此打住,因为小网站没有太大价值。于是黑客使用拖库得到的用户名和密码,尝试登录一些大网站,如果碰巧试出了用户在大网站注册的用户名和密码,相当于在大网站的用户信息也泄露了。也由于这种攻击方式像“撞”大运一样,因此被称为“撞库”。

撞库所需的小网站用户名/密码在网络上便可以买到,价格也非常便宜。普通用户为了图省事、方便记忆,在许多网站设置了同样的用户名和密码,黑客使用购得的用户名/密码数据库,利用撞库手段,顺藤摸瓜,便得到用户在大网站的用户名和密码。

如何防范“拖库”及“撞库”呢?

防“拖库”的关键在于修复可能被黑客甚至管理员利用的安全弱点或漏洞,比如操作系统、应用平台或作业管理流程存在漏洞的话,黑客可能执行远程数据库读取命令,数据库管理员可能私自转存数据库。

一方面,需要在技术层面下功夫,加强漏洞管理,及时安装安全补丁修复已知漏洞,对于软件开发人员,则需加强安全编码意识,让程序对用户输入的信息进行多方面的限制和验证,以防黑客使用恶意的输入。

另一方面,需要在管理层面下功夫,强化系统管理员、数据库管理员、开发运维人员的工作规范化管理,加强职业道德与法规意识教育,杜绝内部隐患如私自下载和出售用户数据信息的隐忧。

防“撞库”主要还是得从账号安全策略入手,配之以账号安全监控和审计,以及对用户进行安全意识教育。比如在安全事故发生后强制修改密码、定期过期密码、禁止使用历史密码等策略可以在很大程度上降低“撞库”的成功率;账号安全监控可以发现“撞库”攻击并采取及时的应对措施,比如阻断可疑的登录源地址,锁定可疑的成功“撞库”账号等;用户的安全意识教育必不可少,原因在于用户必须参与到对自己使用的账户的安全保护中,用户如果随意使用已经泄露的账号密码或者经不起社工诱骗提供密码,再强的技术也是无效的,需知“道高一尺魔高一丈”,有些云端的用户账号和密码资料库如“彩虹表”服务等,也在不断地更新之中。

总之,应对“拖库”及“撞库”攻击,不管是技术层面还是管理层面,都少不了对相关人员进行安全与合规意识教育。

如果您觉得在进行用户方面的安全意识教育方面缺乏足够的时间和资源,可以找外部专业的援助。昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898