前段时间做了一个小外包,由于对方把腾讯云的服务器密码设置的太过简单,然后腾讯云上就收到预警,提示风险,结果没过一会,系统就被植入了挖矿脚本,不过说来也巧,前段时间的博主的小伙伴的公司也受到了比特币勒索,那么今天就来谈一下如何防止撞库。

以前著名的xxdn的账号也曾发生过密码泄露了,黑用户的信息之后然后拿着用户的信息去别的平台去尝试登陆,从而造成经济损失,因为用户的习惯一般是很多网站的密码都是同一个。其实这个习惯不是很好,在这里我建议大家哪怕是同一个密码,也一定要将密码的复杂性提升几个档次。

一: 业务上面的思考

1) 我们可以修改密码的时候验证手机号或者邮箱,同时增加验证码

2) 重要的操作验证手机号验证码,短信方式

3) 异地操作提醒,例如我们的服务器如果有异地登录,我们的控制台会有异常提醒。

4) 登录失败的次数限制,比如一个用户名,在很短的时间内,发生了几十次几百次的失败登录,那么这个极可能是撞库的操作

5) 将用户的敏感信息进行后台的* 处理,例如银行卡账号,如果需要查看,可以进行短信验证码查看完整信息

 二: ip 方面

对于同一个ip,我们可以限制他的单位时间内的访问次数,如果说在一秒钟内访问了几十次 几百次,那肯定是有问题的,这个频率的大小,自己看着

WAF 使用

如果不想自己写这些乱七八糟的条件。可以使用成熟的 WAF 系统。这样,直接在 WAF 系统当中配置,可以智能识别很多的攻击问题。关于 WAF 我们这里不展开讲。目前我只接触过阿里云的 WAF。觉得还不错。就是有点贵哈~~~

探讨一下如何防止撞库。相关推荐

  1. Hash的简介与hashlib模块的使用、模拟撞库与密码加盐

    什么是Hash呢? hash(哈希)是一类算法(如md5),hash算法又称为散列表(hash table),也叫做哈希表,该算法接受传入的内容,经过运算得到一串hash值(字符串) hash值的特点 ...

  2. python 脚本撞库国内“某榴”账号

    其实日常生活中我们的用户名和密码就那么几个,所以这给撞库带来了可能,本文主要给出python脚本撞库的一点粗浅代码.这里只讨论技术本生,代码中某榴的地址也已经改掉,避免被管理员误解禁言等发生,谢谢大家 ...

  3. 撞库:2017年的大麻烦

    本文讲的是 撞库:2017年的大麻烦,每拥有100万的失窃凭证,黑客们可以使用Sentry MBA等类似工具大规模入侵目标网站上的账户.而根据Shape Security发布的2017凭证泄露报告,2 ...

  4. 撞库攻击:一场需要用户参与的持久战

    一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战. 对于大多数用 ...

  5. 使用python hashlib模块给明文字符串加密,以及如何撞库破解密码

    文章目录: 1 hashlib介绍 2 hashlib模块使用 2.1 查看hashlib中有哪些hash算法 2.2 对字符串进行加密 2.3 对于数据比较大,加密可以分块,结果一样 2.4 has ...

  6. 从12306信息泄露了解何为黑客撞库拖库洗库

    12月24日,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为"高",漏洞类型则是"用户资料大量泄漏".据悉,此漏洞将有可能 ...

  7. Question | 网站被黑客扫描撞库该怎么应对防范?

    本文来自网易云社区 在安全领域向来是先知道如何攻,其次才是防.针对题主的问题,在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库. 撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于 ...

  8. 报告显示,媒体行业已成撞库攻击常见目标

    一项报告显示,在2018年1月到2019年12月间,全球媒体行业共遭受了170亿次撞库攻击. 这份名为<Akamai 2020年互联网状况/媒体行业中的撞库攻击>的报告还发现,在报告期间内 ...

  9. 如何给女朋友解释什么是撞库、脱库和洗库?

    来源 | 漫话编程 最近,安全圈又有一个大新闻,微博名为@安全_云舒的微博用户在发文称:"很多人的手机号码泄露了,根据微博账号就能查到手机号--已经有人通过微博泄露查到我的手机号码,来加我微 ...

最新文章

  1. 欢迎使用markdown编辑器20181206
  2. 安装jenkins插件的两种方法
  3. mac 当前文件夹打开终端_Mac上的这些实用你技巧,你知道几个?
  4. SCCM 2007系列教程之六使用组策略实现SCCM客户端
  5. Syncd - 开源自动化部署工具
  6. java中字母用什么单词赋值_Java初学
  7. 如何低格台式计算机的硬盘,最新[电脑如何格式化]台式机如何格式化本地磁盘.doc...
  8. react 遍历对象_React 和 Vue 之间的相爱相杀
  9. 省公务员县公安局,县编办,县政府办,县保密局,这几岗位怎么选?
  10. golang利用反射写入excel的简单工具类
  11. python错误笔记
  12. ASP获取真实IP地址
  13. IP Scanner Pro for mac(局域网IP扫描软件)
  14. VMware系统运维(十一)部署虚拟化桌面 Horizon View 5.2 HTML ACCESS安装
  15. lme4 | 在R中运行混合效应模型(多层模型)
  16. 线性表13|约瑟夫问题 – 数据结构和算法18
  17. 概率机器人书 电子版
  18. gophp解释器_golang底层用什么语言实现的
  19. 吐血整理 python最全习题100道(含答案)持续更新题目,建议收藏!
  20. socks5代理IP的几种测试工具

热门文章

  1. DIY基于RTD2662的LVDS屏幕驱动
  2. 如何快速提高英语听力水平|学习心得+听写经验,附进入英文新闻殿堂的垫脚石
  3. 体会一下hop-by-hop逐跳头中的路由器告警选项(Router Alert Option)的玩法
  4. 学习MRI成像的螺旋桨填充
  5. 【Bug集锦】shader显示效果一会儿是正常的一会儿是暗淡的(无光照)
  6. 一篇文章读懂JSON
  7. android原生输入法皮肤,面向Android平台的输入法皮肤引擎的设计与实现
  8. 深户集体户口借出须知
  9. 罗斯魔影消消乐h5游戏源码
  10. 新版骆驼lPTV小肥米lptv管理系统+全开源源码/可对接EZtv电视直播管理系统