浅谈撞库防御策略

小伙伴们对数据库编程感兴趣吗？是否正在学习相关知识点？如果是，那么本文《浅谈撞库防御策略》，就很适合你，本篇文章讲解的知识点主要包括MySQL、搜索引擎。在之后的文章中也会多多分享相关知识点，希望对大家的知识积累有所帮助！

2014年12306遭遇撞库攻击，13万数据泄露；2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露；数据泄露愈演愈烈，撞库登录成为网站的一大安全威胁，今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼，百战不殆，小编在网上找了个撞库教程整理给大家看看，了解黑客是如何撞库的。

首先找到一个目标网站，随便输入一组用户名和密码，测试其验证码是否可以被过。

密码是明文的，提交了正确的验证码，repeater一下。

回显是账号和密码错误，再repeater一下，还是显示账号和密码错误。说明验证码不用再次请求，可以直接进行撞库。

设置彩虹表。

开始撞库，分分钟1000+可用用户名和密码就到手了。

是的，我们就是这样不知不觉就暴露了。
当然不是所有的网站都能够如此轻松被撞库，说明这个网站的安全性做的真的不好。
撞库是什么？
黑客通过收集互联网已泄露的拖库信息，特别是注册用户的用户名和密码信息，生成对应的字典表。通过恶意程序和字典表批量尝试登录其他网站，得到一系列可用的真实用户信息。

撞库成功的原因是什么呢？
广大网络用户为了方便记忆，所有网站都使用同一套用户名和密码。
网站登录的安全措施不够。

撞库的危害是什么呢？
就企业而言保护用户的信息安全是基本责任之一，泄露用户信息会缺失公信力，损毁公司品牌形象。
就个人而言小则骚扰电话天天有，大则个人财产不翼而飞。

撞库这么大的危害，作为企业和网站主应该如何防止撞库攻击呢？
通过上面的例子我们可以发现，阻止撞库登录就是要让黑客不能够使用脚本程序进行批量登录。常用的方法有以下几种：
1.限制同一个IP的请求次数和请求频率
这是一种方法，但是由于IP代理的存在，作用也不是特别大。

2.使用cookie，flash cookie以及帆布指纹等方法
目前也是有许多网站在使用这种策略，有一定的作用，但是也是可以被清除掉的。flash cookie可能相对要更好一些。

3.添加验证码
当然不能用上例网站中的验证码和验证机制，像这样，没什么用。

为什么没用呢？
a.验证机制，请求一次之后可以直接绕过。
b.就算每一次登录都需要请求验证码，这种验证码的安全性也低，很容易被识别。

相比较于上例中对于验证码的疏忽，很多公司也很重视验证安全。有一些安全比较高的验证码也是有不错的防范效果的。
极验验证码

利用目前比较火的机器学习以及深度学习建模，分析人和机器的拖动特征，防止机器脚本的效果是很不错的。另外一点很好的是，基于深度学习构建神经网络能够较为快速的学习特征，有可疑情况出现能够迅速的进行升级。
汉字验证码

汉字验证码由于汉字的复杂性和数量大，图像识别起来有一定的难度，也算是目前验证码中相对安全的一种。不过在用户体验上却不如极验的那么好。
一般情况下网站都会采用以上三种策略组合的方式来抵御撞库攻击，能不能够防得住，验证码起了很关键的作用。
当然还有一些其他高级一些的防御方式
进行生物特征识别，也就是说不使用我们传统的密码了，当然这是任重而道远的一件事情；
使用手机验证码，性价比不高，物理因素的影响会很大，还有就是接码平台的存在也严重威胁其安全性；
对用户设置密码进行限制和更高级的算法加密，以及对用户的登录环境进行监测等，但是这对很多的企业和网站来说，实现起来是有难度的。
所以使用验证码是目前防止网站被撞库攻击性价比最高的方法，简单而容易实现，但是我们应该选择安全性高的验证码，不然形同虚设，没有实质性的作用。

终于介绍完啦！小伙伴们，这篇关于《浅谈撞库防御策略》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布数据库相关知识，快来关注吧！