撞库攻击：一场需要用户参与的持久战

一、背景：

用户数据泄露一直是当今互联网世界关注的焦点。 从最近的京东取证抹黑事件，到此前的CSDN、如家用户数据泄露事件，服务商和黑客一直在用户数据的舞台上进行着旷日持久的争论。 攻防战。

对于大多数用户来说，credentialing 可能是一个非常专业的术语，但理解起来也比较简单。 崩溃是黑客无聊的“恶作剧”。 黑客通过收集网上泄露的用户+密码信息生成相应的词典。 尝试批量登录其他网站后，得到一系列可以登录的用户。

以京东之前的撞库为例，首先，京东的数据库没有泄露。 黑客只是通过“撞库”的方式“巧合”的获取了部分京东用户数据（用户名和密码），而这种方式几乎可以应对任何网站登录系统，用户登录不同网站时使用的是同一个用户。 用户名和密码相当于给自己分配了一把“万能钥匙”。 一旦丢失，后果可想而知。 因此，防止碰撞是一场持久战，需要用户的参与。

关于撞库事件的来龙去脉，下文也将一一详解。

说到“撞库”比特币撞库软件，不得不说“脱裤子”和“洗库”。

在黑客的术语中，“拖库”是指黑客入侵有价值的网络站点，窃取所有注册用户的数据数据库的行为。 因谐音，常被称为“脱裤”。 它以奖励提交漏洞的白帽命名。 黑客在获取大量用户数据后，会通过一系列技术手段和黑色产业链套现有价值的用户数据，也就是通常所说的“洗库”。 最后，黑客会尝试在其他网站上登录获取的数据，这就是所谓的“崩溃库”，因为很多用户喜欢使用统一的用户名和密码，“崩溃库”也可以成为黑客的一个不错的收获.

下图展示了黑客在“脱裤子”、“洗仓库”、“撞仓库”三个环节的活动。

2、用户数据与黑产业：

随着地下产业链的成熟，用户数据可以快速变现。

（1）用户账号中的虚拟货币，游戏账号，装备，都可以通过交易的方式变现，也就是俗称的“盗号”。
（2）金融类账号比如，支付宝，网银，信用卡，股票的账号和密码，则可以用来进行金融犯罪和诈骗。
（3）最后一些可归类的用户信息，如学生，打工者，老板等，多用于发送广告，垃圾短信，电商营销。
也有专门的广告投放公司，花钱购买这些分门别类的信息。

复制

急功近利、高回报也让越来越多的黑客开始冒险。 （在刑法中，以非法侵入计算机系统罪，将被判处三至七年有期徒刑）

对于信息被泄露的受害者，根据泄露信息的种类不同，他们的生活也会受到不同程度的影响。

如上所示，如果您在多个网站和服务中拥有相同的用户名和密码，您可能会遭受更大的损失。

三、黑客如何获取用户数据：

为了获得对数据库的访问权限和获取用户数据，黑客通常从两个方向入手：技术层面和社会工程学层面。

技术方面大致分为以下几类：

（1）远程下载数据库文件
这种拖库方式的利用主要是由于管理员缺乏安全意识，在做数据库备份或是为了方便数据转移，将数据库文件直接放到了Web目录
下，而web目录是没有权限控制的，任何人都可以访问的；还有就是网站使用了一些开源程序，没有修改默认的数据库；其实黑客每
天都会利用扫描工具对各大网站进行疯狂的扫描，如果你的备份的文件名落在黑客的字典里，就很容易被扫描到，从而被黑客下载到
本地。
（2）利用web应用漏洞
随着开源项目的成熟发展，各种web开源应用，开源开发框架的出现，很多初创的公司为了减少开发成本，都会直接引入了那些开源
的应用，但却并不会关心其后续的安全性，而黑客们在知道目标代码后，却会对其进行深入的分析和研究，当高危的零日漏洞发现
时，这些网站就会遭到拖库的危险。

（3）利用web服务器漏洞
Web安全实际上是Web应用和Web服务器安全的结合体；而Web服务器的安全则是由Web容器和系统安全两部分组成，系统安全通常会
通过外加防火墙和屏蔽对外服务端口进行处理，但Web容器却是必须对外开发，因此如果Web容器爆出漏洞的时候，网站也会遭到拖
库的危险。
社工方面大概有如下几种：
（1）水坑攻击
黑客会利用软件或系统漏洞，在特定的网站上进行挂马，如果网站管理员在维护系统的时候不小心访问到这些网站，在没有打补丁
的前提下，就会被植入木马，也会引发后续的拖库风险。
（2）邮件钓鱼
黑客会利用一些免杀的木马，并将其和一些管理员感兴趣的信息绑定，然后通过邮件发送给管理员，而当网站管理员下载运行后，也
会导致服务器植入木马，引发后续的拖库风险。
（3）社工管理员
对目标网站的管理员进行社会工程学手段，获取到一些敏感后台的用户名和密码。从而引发的后续拖库。
（4）XSS劫持
有时黑客也会为了获取某一些网站的帐号信息，他们会利用网站钓鱼的手段去欺骗用户主动输入，但这种方式只能获取部分帐号的

真实信息，并没有入侵服务器。

复制

四、黑客如何解密获取的数据：

通常，数据库中的个人信息，如电子邮件、电话、真实姓名、性别等，都是以明文形式存储的。 密码一般经过MD5加密后保存。 黑客可以轻松地从数据库中剥离他需要的数据并以纯文本形式存储。 MD5加密后的数据需要经过一定的解密过程才能看到明文。 通常，解密MD5的方法有暴力破解、字典破解和彩虹表。

(1) 暴力破解

暴力破解是一种“耗时”的破解方法。 在确定密文的加密方式的前提下，采用相同的加密算法计算

M = H(P)

P为全明文空间

H是加密算法

M为密文

然后将计算出的M与待破解的密文进行比较。 如果匹配成功，对应的明文P就是待破解密文的明文。 值得注意的是，枚举P和比较M的过程往往是在内存中进行的，即在计算过程中产生并进行比较。 本次破解结束后，下一次破解又要从头开始。 比如效率不是很高。

(2) 字典破解

字典破解本质上是一种“暴力破解”。 在字典破解中，攻击者预先计算所有明文（M），预先计算所有明文的HASH，并保存。 一个典型的MD5字典如下：

....
password　　5f4dcc3b5aa765d61d8327deb882cf99

admin　　　　21232f297a57a5a743894a0e4a801fc3
cnblog　　　　efbc3548e65e7225dcf43d3918d94e6f
....

复制

破解时，破解程序将字典映射到内存中，然后将HASH与待破解的密文逐一进行比较（这与暴力破解是一样的），直到找到某个HASH与待破解的密文直到一样。

值得注意的是，基于字典的暴力破解比简单的基于内存的暴力破解更有效。 只要一次“字典生成”花费一定的时间，字典就可以重复用于后续的多次破解。

注意，这里所说的“字典”是指某种算法对应的字典：MD5目录、SHA1目录、NTLM目录等。

总的来说，字典攻击是对简单的基于内存的暴力破解的改进。 引入了预处理的思想比特币撞库软件，但是缺点也很明显。 它需要占用巨大的磁盘空间，以至于对于长度超过16个Dictionaries的密码，完全存储是根本不可能的。

(3) 彩虹桌

这是暴力破解和字典破解之间的折衷。 它最早于2003年由瑞典的Philippe Oechslin在文章Making a Faster Cryptanalytic Time-Memory Trade-Off中提出，它有效地利用了预处理的优点，同时克服了字典破解耗费空间磁盘空间的缺点，并在两者之间找到平衡。 （具体实现技术请自行百度）

五、黑客如何使用获取的数据：

黑客除了通过出售数据获取金钱利益外，还会将获取的数据进行整理，制作成社会工程学库。 利用社会工程学库对其他网站进行撞库攻击。 撞库攻击本质上是基于大量用户数据，利用相同的注册习惯（相同的用户名和密码）尝试登录其他网站。

随着社会工程数据库的不断增长，越来越多的用户和网站受到撞库攻击的威胁。 （现在网上流传的数据库已经超过千万，但是和一些黑客掌握的数据相比，这只是冰山一角，详见《刀哥的黑板报：中国黑客传奇：中国黑客传奇：流浪黑暗精灵》）

不仅账号密码外泄，面对庞大的社工数据库，用户的个人隐私也岌岌可危。 如家快捷酒店2000万数据泄露事件，导致多名会员的开房记录在网上曝光。

QQ群用户信息泄露也影响了几乎所有QQ用户的隐私。

再来看看最近发生的京东崩盘事件。 网上流传一张所谓的京东数据泄露图，其中涉及少量京东用户名和密码。

网上的白帽分析了用户名和密码的来源，发现图片中的用户名和密码都在之前其他网站泄露的数据库中。

这也说明撞库攻击可以在拥有大量用户名和密码的基础上，在不攻破目标系统的情况下，获取目标系统的某些用户信息。

6、用户如何保护自己的隐私：

作为中国千万网民中的一员，你可能认为我不用网银，打游戏也不充值。 我被黑没有价值，所以黑客不会光顾我。 事实上，每一个使用互联网服务的用户，在享受快捷方便的服务时，都会面临风险。 这不是黑客是否值得攻击你，而是你是否有可能受到影响。 这里有一些建议可以帮助您规避风险。

（1）重要网站/APP的密码一定要独立，猜测不到，或者用1Password这样的软件来帮你记忆；
（2）电脑勤打补丁，安装一款杀毒软件；
（3）尽量不使用IE浏览器
（4）支持正版，因为盗版的、破解的总是各种猫腻，后门存在的可能性很大；
（5）不那么可信的软件，可以安装到虚拟机里；
（6）不要在公共场合（如咖啡厅、机场等）使用公共无线，自己包月3G/4G，不差钱，当然你可以用公共无线做点无隐私的事，
如下载部电影之类的；
（7）自己的无线AP，用安全的加密方式（如WPA2），密码复杂些；
（8）离开电脑时，记得按下Win（Windows图标那个键）+L键，锁屏，这个习惯非常非常关键；

复制