解析網(wǎng)絡(luò)賬號(hào)密碼泄露的途徑

2013-06-06 10:25 作者：ly 瀏覽量：

有大量用戶在互聯(lián)網(wǎng)上注冊(cè)帳號(hào)，但這些帳號(hào)，卻可能由于網(wǎng)站受攻擊而泄露——這被稱之為爆庫(kù)——在黑客的圈子也叫“拖庫(kù)”，指的是網(wǎng)站的數(shù)據(jù)庫(kù)被黑客攻擊竊取并下載。爆庫(kù)其實(shí)很早就存在，但近年來(lái)眾多大型網(wǎng)站的接連爆庫(kù)，引起了互聯(lián)網(wǎng)上不小的轟動(dòng)，因此我們有必要了解下（ it外包 ），黑客通常都是通過(guò)什么樣的方式來(lái)做到這些的。

1、遠(yuǎn)程下載數(shù)據(jù)庫(kù)文件

這種拖庫(kù)方式的利用主要是由于管理員缺乏安全意識(shí)，在做數(shù)據(jù)庫(kù)備份或是為了方便數(shù)據(jù)轉(zhuǎn)移，將數(shù)據(jù)庫(kù)文件直接放到了Web目錄下，而web目錄是沒(méi)有權(quán)限控制的，任何人都可以訪問(wèn)的；還有就是網(wǎng)站使用了一些開(kāi)源程序，沒(méi)有修改默認(rèn)的數(shù)據(jù)庫(kù)；其實(shí)黑客每天都會(huì)利用掃描工具對(duì)各大網(wǎng)站進(jìn)行瘋狂的掃描，當(dāng)你的備份的文件名如果落在黑客的字典里，就很容易被掃描掃描到，從而被黑客下載到本地（ 辦公設(shè)備維護(hù) ）。

2、利用Web應(yīng)用漏洞拖庫(kù)

隨著開(kāi)源項(xiàng)目的成熟發(fā)展，各種web開(kāi)源應(yīng)用，開(kāi)源開(kāi)發(fā)框架的出現(xiàn)，很多初創(chuàng)的公司為了減少開(kāi)發(fā)成本，都會(huì)直接引入了那些開(kāi)源的應(yīng)用，但卻并不會(huì)關(guān)心其后續(xù)的安全性，而黑客們?cè)谥滥繕?biāo)代碼后，卻會(huì)對(duì)其進(jìn)行深入的分析和研究，當(dāng)高危的零日漏洞發(fā)現(xiàn)時(shí)，這些網(wǎng)站就會(huì)遭到拖庫(kù)的危險(xiǎn)。

3、利用Web服務(wù)器(Apache,IIS,Tomcat等)漏洞拖庫(kù)

Web安全實(shí)際上是Web應(yīng)用和Web服務(wù)器安全的結(jié)合體；而Web服務(wù)器的安全則是由Web容器和系統(tǒng)安全兩部分組成，系統(tǒng)安全通常會(huì)通過(guò)外加防火墻和屏蔽對(duì)外服務(wù)端口進(jìn)行處理，但Web容器卻是必須對(duì)外開(kāi)發(fā)，因此如果Web容器爆出漏洞的時(shí)候，網(wǎng)站也會(huì)遭到拖庫(kù)的危險(xiǎn)（ 電腦維護(hù) ）。

4、利用網(wǎng)站掛馬拖庫(kù)

黑客會(huì)利用軟件或系統(tǒng)漏洞，在特定的網(wǎng)站上進(jìn)行掛馬，如果網(wǎng)站管理員在維護(hù)系統(tǒng)的時(shí)候不小心訪問(wèn)到這些網(wǎng)站，在沒(méi)有打補(bǔ)丁的前提下，就會(huì)被植入木馬，也會(huì)引發(fā)后續(xù)的拖庫(kù)風(fēng)險(xiǎn)。

5、傳播惡意文件拖庫(kù)

黑客會(huì)利用一些免殺的木馬，并將其和一些管理員常用的軟件綁定，然后在網(wǎng)上進(jìn)行傳播，而當(dāng)網(wǎng)站管理員下載運(yùn)行后，也會(huì)導(dǎo)致服務(wù)器植入木馬，引發(fā)后續(xù)的拖庫(kù)風(fēng)險(xiǎn)。

6、內(nèi)部人員泄漏數(shù)據(jù)庫(kù)

當(dāng)然，也會(huì)有一些網(wǎng)站管理員經(jīng)不起金錢的誘惑，將其維護(hù)的網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行兜售（ 門禁監(jiān)控 ）。

7、社工網(wǎng)站管理員

對(duì)目標(biāo)網(wǎng)站的管理員進(jìn)行社工程學(xué)手段，獲取到一些敏感后臺(tái)的用戶名和密碼，從而引發(fā)的后續(xù)拖庫(kù)。

8、利用網(wǎng)站釣魚(yú)

有時(shí)黑客也會(huì)為了獲取某一些網(wǎng)站的帳號(hào)信息，他們會(huì)利用網(wǎng)站釣魚(yú)的手段去欺騙用戶主動(dòng)輸入，但這種方式只能獲取部分帳號(hào)的真實(shí)信息，并沒(méi)有入侵服務(wù)器。

--- 版權(quán)最終歸艾銻無(wú)限所有http://www.xsjbhw.cn/ 如需轉(zhuǎn)載，請(qǐng)標(biāo)明出處。