晚報:“京東數據庫泄露”究竟是什么
今天下午,想必不少 qq 群里都流傳著這樣一張截圖,說是京東數據庫泄露了,讓大家趕緊把錢轉出來。
不過今晚京東官方回應稱,經過內部調查,并非數據庫泄露,而是被盜號了。建議廣大京東注冊用戶中還沒有啟用安全設置(郵箱驗證,手機驗證,支付密碼與數字證書)的用戶,請盡快開啟,以保障賬戶及資金安全。
而據烏云的調查,京東的數據庫沒有被脫褲,只是無聊黑客的惡作劇,他們通過收集互聯網已泄露的用戶+密碼信息,生成對應的字典表,嘗試批量登陸京東網站后,拿出幾個能夠登陸的用戶來說事!
這種攻擊手法被稱為“撞庫攻擊”
以大量的用戶數據為基礎,利用用戶相同的注冊習慣(相同的用戶名和密碼),嘗試登陸其它的網站。2011 年,互聯網泄密事件引爆了整個信息安全界,導致傳統的用戶+密碼認證的方式已無法滿足現有安全需求。泄露數據包括:天涯:31,758,468 條,CSDN:6,428,559 條,微博:4,442,915 條,人人網:4,445,047 條,貓撲:2,644,726 條,178:9,072,819 條,嘟嘟牛:13,891,418 條,7K7K:18,282,404 條,Adobe:1.5 億,Cupid Media:4200 萬,QQ 數據庫:大于 6 億,福布斯:100 萬,接近 9 億多條。
除了撞庫攻擊,還有哪些常見的攻擊方法呢?(來自知乎)
引用不安全的第三方應用
第三方開源應用、組件、庫、框架和其他軟件模塊;
由于第三方應用平行部署在業務系統之上,如果一個易受攻擊的第三方應用被利用,這種攻擊將導致嚴重的數據失竊或系統淪陷。
XSS 跨站腳本攻擊/CSRF
屬于代碼注入的一種,XSS 發生在當應用程序獲得不可信的數據并發送到瀏覽器或支持用戶端腳本語言容器時,沒有做適當的校驗或轉義。XSS 能讓攻擊者在受害者的瀏覽器上執行腳本行,從而實現劫持用戶會話、破壞網站 Dom 結構或者將受害者重定向到惡意網站。
系統錯誤/邏輯缺陷帶來的自動化枚舉
由于應用系統自身的業務特性,會開放許多接口用于處理數據,如果接口或功能未進行嚴謹的安全控制或判斷,將會促進駭客加快攻擊應用程序的過程,大大降低了駭客發現威脅的人力成本。
隨著模塊化的自動化攻擊工具包越來越趨向完善,將給應用帶來最大的威脅。
注入漏洞
注入缺陷不僅僅局限于 SQL,還包括命令、代碼、變量、HTTP 響應頭、XML 等注入。
程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,當不可信的數據作為命令或查詢的一部分被發送到解釋器時,注入就會發生。攻擊者的惡意數據欺騙解釋器,讓它執行意想不到的命令或者訪問沒有準確授權的數據。
應用錯誤配置/默認配置
數應用程序、中間件、服務端程序在部署前,未針對安全基線缺乏嚴格的安全配置定義和部署,
將為攻擊者實施進一步攻擊帶來便利。常見風險:flash 默認配置,Access 數據庫默認地址,WebDav 配置錯誤,Rsync 錯誤配置,應用服務器、Web 服務器、數據庫服務器自帶管理功能默認后臺和管理口令。
敏感信息泄露
由于沒有一個通用標準的防御規則保護好中間件配置信息、DNS 信息、業務數據信息、用戶信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息(后臺或測試地址)的泄露,攻擊者可能會通過收集這些保護不足的數據,利用這些信息對系統實施進一步的攻擊。
未授權訪問/權限繞過
多數業務系統應用程序僅僅只在用戶客戶端校驗授權信息,或者干脆不做訪問控制規則限制,如果服務端對來自客戶端的請求未做完整性檢查,攻擊者將能夠偽造請求,訪問未被授權使用的功能。
賬戶體系控制不嚴/越權操作
與認證和會話管理相關的應用程序功能常常會被攻擊者利用,攻擊者通過組建的社會工程數據庫,檢索用戶密碼,或者通過信息泄露獲得的密鑰、會話 token、GSID 和利用其它信息來繞過授權控制訪問不屬于自己的數據。如果服務端未對來自客戶端的請求進行身份屬主校驗,攻擊者可通過偽造請求,越權竊取所有業務系統的數 據。
企業內部重要資料/文檔外泄
無論是企業還是個人,越來越依賴于對電子設備的存儲、處理和傳輸信息的能力。
企業重要的數據信息,都以文件的形式存儲在電子設備或數據中心上,企業雇員或程序員為了辦公便利,常常將涉密數據拷貝至移動存儲介質或上傳至網絡,一旦信息外泄,將直接加重企業安全隱患發生的概率。
<span id="shareA4" class="fl"> </span>
</div>