今天下午,想必不少qq群裡都流傳著這樣一張截圖,說是京東資料庫洩露了,讓大家趕緊把錢轉出來。
不過今晚京東官方回應稱,經過內部調查,並非資料庫洩露,而是被盜號了。建議廣大京東註冊用戶中還沒有啟用安全設置(郵箱驗證,手機驗證,支付密碼與數字證書)的用戶,請儘快開啟,以保障帳戶及資金安全。
而據烏雲的調查,京東的資料庫沒有被脫褲,只是無聊黑客的惡作劇,他們通過收集網際網路已洩露的用戶+密碼信息,生成對應的字典表,嘗試批量登陸京東網站後,拿出幾個能夠登陸的用戶來說事!
這種攻擊手法被稱為「撞庫攻擊」
以大量的用戶數據為基礎,利用用戶相同的註冊習慣(相同的用戶名和密碼),嘗試登陸其它的網站。2011年,網際網路洩密事件引爆了整個信息安全界,導致傳統的用戶+密碼認證的方式已無法滿足現有安全需求。洩露數據包括:天涯:31,758,468條,CSDN:6,428,559條,微博:4,442,915條,人人網:4,445,047條,貓撲:2,644,726條,178:9,072,819條,嘟嘟牛:13,891,418條,7K7K:18,282,404條,Adobe:1.5億,Cupid Media:4200萬,QQ資料庫:大於6億,福布斯:100萬,接近9億多條。
除了撞庫攻擊,還有哪些常見的攻擊方法呢?(來自知乎)
引用不安全的第三方應用
第三方開源應用、組件、庫、框架和其他軟體模塊;
由於第三方應用平行部署在業務系統之上,如果一個易受攻擊的第三方應用被利用,這種攻擊將導致嚴重的數據失竊或系統淪陷。
XSS跨站腳本攻擊/CSRF
屬於代碼注入的一種,XSS發生在當應用程式獲得不可信的數據並發送到瀏覽器或支持用戶端腳本語言容器時,沒有做適當的校驗或轉義。XSS能讓攻擊者在受害者的瀏覽器上執行腳本行,從而實現劫持用戶會話、破壞網站Dom結構或者將受害者重定向到惡意網站。
系統錯誤/邏輯缺陷帶來的自動化枚舉
由於應用系統自身的業務特性,會開放許多接口用於處理數據,如果接口或功能未進行嚴謹的安全控制或判斷,將會促進駭客加快攻擊應用程式的過程,大大降低了駭客發現威脅的人力成本。
隨著模塊化的自動化攻擊工具包越來越趨向完善,將給應用帶來最大的威脅。
注入漏洞
注入缺陷不僅僅局限於SQL,還包括命令、代碼、變量、HTTP響應頭、XML等注入。
程式設計師在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,當不可信的數據作為命令或查詢的一部分被發送到解釋器時,注入就會發生。攻擊者的惡意數據欺騙解釋器,讓它執行意想不到的命令或者訪問沒有準確授權的數據。
應用錯誤配置/默認配置
數應用程式、中間件、服務端程序在部署前,未針對安全基線缺乏嚴格的安全配置定義和部署,
將為攻擊者實施進一步攻擊帶來便利。常見風險:flash默認配置,Access資料庫默認地址,WebDav配置錯誤,Rsync錯誤配置,應用伺服器、Web伺服器、資料庫伺服器自帶管理功能默認後臺和管理口令。
敏感信息洩露
由於沒有一個通用標準的防禦規則保護好中間件配置信息、DNS信息、業務數據信息、用戶信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息(後臺或測試地址)的洩露,攻擊者可能會通過收集這些保護不足的數據,利用這些信息對系統實施進一步的攻擊。
未授權訪問/權限繞過
多數業務系統應用程式僅僅只在用戶客戶端校驗授權信息,或者乾脆不做訪問控制規則限制,如果服務端對來自客戶端的請求未做完整性檢查,攻擊者將能夠偽造請求,訪問未被授權使用的功能。
帳戶體系控制不嚴/越權操作
與認證和會話管理相關的應用程式功能常常會被攻擊者利用,攻擊者通過組建的社會工程資料庫,檢索用戶密碼,或者通過信息洩露獲得的密鑰、會話token、GSID和利用其它信息來繞過授權控制訪問不屬於自己的數據。如果服務端未對來自客戶端的請求進行身份屬主校驗,攻擊者可通過偽造請求,越權竊取所有業務系統的數據。
企業內部重要資料/文檔外洩
無論是企業還是個人,越來越依賴於對電子設備的存儲、處理和傳輸信息的能力。
企業重要的數據信息,都以文件的形式存儲在電子設備或數據中心上,企業僱員或程式設計師為了辦公便利,常常將涉密數據拷貝至移動存儲介質或上傳至網絡,一旦信息外洩,將直接加重企業安全隱患發生的概率。