昨天下午,想必不少qq群里都流传着这样一张截图,说是京东数据库泄露了,让大家赶紧把钱转出来。
不过昨晚京东官方回应称,经过内部调查,并非数据库泄露,而是被盗号了。建议广大京东注册用户中还没有启用安全设置(邮箱验证,手机验证,支付密码与数字证书)的用户,请尽快开启,以保障账户及资金安全。
而据乌云的调查,京东的数据库没有被脱裤,只是无聊黑客的恶作剧,他们通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆京东网站后,拿出几个能够登陆的用户来说事!
这种攻击手法被称为“撞库攻击”
以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,Adobe:1.5亿,Cupid Media:4200万,QQ数据库:大于6亿,福布斯:100万,接近9亿多条。
除了撞库攻击,还有哪些常见的攻击方法呢?(来自知乎)
引用不安全的第三方应用
第三方开源应用、组件、库、框架和其他软件模块;
由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。
XSS跨站脚本攻击/CSRF
属于代码注入的一种,XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。
系统错误/逻辑缺陷带来的自动化枚举
由于应用系统自身的业务特性,会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。
随着模块化的自动化攻击工具包越来越趋向完善,将给应用带来最大的威胁。
注入漏洞
注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。
程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。
应用错误配置/默认配置
数应用程序、中间件、服务端程序在部署前,未针对安全基线缺乏严格的安全配置定义和部署,
将为攻击者实施进一步攻击带来便利。常见风险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器、数据库服务器自带管理功能默认后台和管理口令。
敏感信息泄露
由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。
未授权访问/权限绕过
多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。
账户体系控制不严/越权操作
与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库,检索用户密码,或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验,攻击者可通过伪造请求,越权窃取所有业务系统的数据。
企业内部重要资料/文档外泄
无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。
企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信息外泄,将直接加重企业安全隐患发生的概率。