拖库撞库安全防御_摘自绿盟科技技术刊物总第28期.pdf
立即下载
筱梨
2025-10-28
拖库
撞库
网站
攻击
泄露
登录
技术
手段
互联网
用户
1.4 MB
3
专家视角
信息泄露之拖库撞库思考
及安全防御策略
北京分公司 刘凯
关键词:信息泄露 拖库 撞库攻击 安全设计 认证创新
摘要:2014 年年底,某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专
有术语再次呈现于公众舆论面前。本文从攻击实现角度,对拖库、撞库攻击进行简单分析;
从安全防护设计、建设运维角度,对网站应对与防范拖库、撞库攻击的设计、识别、检测、
处置进行重点分析;并给出针对这两种攻击实践总结的安全防御 40 条策略。希望本文能
够抛砖引玉,给互联网网站开发、设计、运维的 IT 工作人员扩展思路,从而提高互联网网
站防范信息泄露的综合安全能力。
引言
2014 年年底,某网站被爆“信息泄露”,一时间各种猜测不绝于耳,微博、媒体争相评论,再次将信息泄露事件推到大众舆论面前
成为热点话题,也让普通中国网民第一次听到“拖库”之后又一新鲜
名词——“撞库攻击”。
一、什么是拖库、撞库?
拖库、撞库名词并无标准权威的定义,但实际理解起来却是极
易接受的。
拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感
信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、
密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、
住址等。
撞库是黑客通过收集互联网已泄露的拖库信息,特别是注册用
户和密码信息,生成对应的字典表,尝试批量自动登录其他网站验
证后,得到一系列可以登录的真实账户。
二、拖库、撞库如何实现?
拖库实现起来比撞库复杂得多,手段和方法也更加丰富多样。
从实践角度,可以分为技术流拖库和社工流拖库。常见的技术流以
4
专家视角
入侵、攻击为主实现拖库,如远程下载数据库,利用 Web Code 漏洞、
Web Services 漏洞、服务器漏洞,挂马、病毒、木马后门等;社工
流则以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要
手段实现拖库。
再来看一下撞库,存在撞库的根本原因是很多互联网用户在不
同网站使用的是相同的账号密码,因此攻击者可以通过获取用户在
A 网站的账户从而尝试登录 B 网站。高水准的撞库攻击不易发现,
实现起来需很高的技术能力,因此成本较高,当前多数的撞库还是
以单脚本登录验证、分布式脚本登录验证,自动代理登录验证,甚
至人肉验证等
拖库/撞库/网站/攻击/泄露/登录/技术/手段/互联网/用户/
拖库/撞库/网站/攻击/泄露/登录/技术/手段/互联网/用户/
-->