什么是撞库攻击？以及如何防范撞库攻击

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

撞库可以通过数据库安全防护技术解决，数据库安全技术主要包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

扩展资料：

著名案例：

以京东之前的撞库举例，首先京东的数据库并没有泄漏。黑客只不过通过“撞库”的手法，“凑巧”获取到了一些京东用户的数据（用户名密码）。

而这样的手法，几乎可以对付任何网站登录系统，用户在不同网站登录时使用相同的用户名和密码，就相当于给自己配了一把“万能钥匙”，一旦丢失，后果可想而知。所以说，防止撞库，是一场需要用户一同参与的持久战。

2014年12月25日，12306网站用户信息在互联网上疯传。对此，12306官方网站称，网上泄露的用户信息系经其他网站或渠道流出。据悉，此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过“撞库攻击”所获得。 

2018年6月5日报道，前不久，浙江省杭州市余杭区人民检察院对谭某某非法获取计算机信息数据，叶某某、张某某提供侵入计算机信息系统数据案提起公诉。

2018年5月21日，余杭区人民法院对此案作出判决，被告人谭某某因犯非法获取计算机信息系统数据罪，被判处有期徒刑三年，缓刑四年，并处罚金人民币四万元；被告人叶某某因犯提供入侵计算机信息系统程序罪，被判处有期徒刑三年，缓刑四年，并处罚金人民币四万元；

被告人张某某因犯提供侵入计算机信息系统程序罪，被判处有期徒刑三年，缓刑三年，并处罚金人民币三万元。据悉，这是全国范围内针对撞库打码案件的首次判例。法院完全采纳检察院的起诉意见。

参考资料来源：百度百科-撞库攻击

撞库攻击也就是黑客通过收集互联网已泄露的用户+密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登陆的用户，这样一旦用户为了省事，在多个网站设置了同样的用户名和密码的话，黑客很容易就会通过字典中已有的信息，登录到这些网站，从而获得用户的相关信息，如：手机号码、身份证号码、家庭住址，支付宝及网银信息等。这些信息泄露后，不仅会给用户和精神和经济带来巨大损失，同时也会给相关网站带来负面影响。简单理解撞库就是黑客无聊的“恶作剧”，不过得看社会危害性如何。
怎么防御撞库攻击
（1）重要网站/APP的密码一定要独立，猜测不到，或者用1Password这样的软件来帮你记忆；
（2）电脑勤打补丁，安装一款杀毒软件；
（3）尽量不使用IE浏览器
（4）支持正版，因为盗版的、破解的总是各种猫腻，后门存在的可能性很大；
（5）不那么可信的软件，可以安装到虚拟机里；
（6）不要在公共场合（如咖啡厅、机场等）使用公共无线，自己包月3G/4G，不差钱，当然你可以用公共无线做点无隐私的事，如下载部电影之类的；
（7）自己的无线AP，用安全的加密方式（如WPA2），密码复杂些；
（8）离开电脑时，记得按下Win（Windows图标那个键）+L键，锁屏，这个习惯非常非常关键；

撞库攻击，按字面意思解读，就是“碰撞数据库”。“碰撞”意味着碰运气，即不一定能成功;而“数据库”中往往存储着大量敏感数据，比如我们登录一个网站所需要的用户名、密码，再比如手机号、身份证号等个人隐私信息。

撞库的主要场景：试图获取正确的账号/密码组合，大白话理解就是“盗号”。

从攻击目的上区分，撞库有以下几种常见场景：

1、弱密码嗅探：类似 111111、123456
这样的简单密码因为很多人用，用这样的弱口令去试探大量的账号，就有一定概率能发现一些真正在使用弱密码的账号。

2、利用拖库数据：原理是大多数人倾向于在多个站点上使用同一个密码(有多少人淘宝和支付宝的密码是一样的?)。当攻击者成功入侵一个安全防护能力很弱的站点
A，并拿到其数据库的所有用户名密码组合，然后再拿着这些组合去站点 B 尝试，如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。

3、针对高权限账号的暴力破解：暴力破解严格来说跟撞库是两种类型的攻击，因为二者从攻击方法和防护方式的角度来看都差不多。这主要是针对一些高权限账号(如网站的管理员)用大量密码去试探，想要盗用的账号目标非常明确。

如何预防撞库?

1、强制用户密码的强度

这点不少站点现在已经做得很好了，但是还有相当多的应用允许用户使用 111111 这样的弱密码。同时也特别注意，不要忽略小程序、App
等非网页环境的注册接口。

2、定期强制用户更换密码。

这点主要针对企业内部员工，毕竟记住一个密码已经很痛苦了，这带来的用户体验将会直线下降。

3、在账户相关接口加强人机防控策略

人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来，如果能将大部分针对账号的“机器流量”识别出来并拦截，会是安全水位很大的一个提升。从技术手段来说，常见的有使用图形验证码、封禁高频请求的
IP/会话、部署人机识别的 SDK 组件等等，但采用图形验证码等方式存在用户体验差以及被破解的问题。

4、重要业务流程采用二次验证

如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者。

打开腾讯智慧安全页面
然后在里面找到御点终端安全系统
接着选择上方产品选项，在里面选择腾讯御点，修复漏洞