| 本文共 2600 字,阅读预计 5 分钟 |
图片来源于网络
撞库攻击,简单来说就是黑客利用网络上已泄露的账号密码,在市面各大平台进行大规模自动登录。再形象一点,可以理解为黑客拿着你A网站的账号密码,去登录B平台、C平台的账号密码,只要登录成功,黑客就能随心所欲地利用,甚至掏空这个账号的价值,对个人和企业都是巨大的安全隐患。
隐藏方式一:调节请求,应对速率限制控制
举个例子,企业可能会基于API网关调解,将API速率限制设置为每分钟仅10个请求。如果在调用API时,黑客一分钟内尝试11个请求,请求者要是有访问权限,那么前10个请求就会正常工作,但最后一个请求会被阻止,并且在下一分钟这个阈值会重新设置。另外一些速率限制机制则会采取动态限制,只要被认为调用API过多,限制的时间则会更长。它的原理与账户锁定阈值一致。
如果攻击者决定限制API请求,他们会将自身工具或脚本配置为在接近限制阈值的情况下运行,根本不会碰到该阈值。而攻击者的这种手段通常也比较管用,因为速率限制是企业基于正常使用模式而设置,未考虑被攻击者滥用的情况。所以,基于会话的API调用行为分析的动态速率限制,是此类隐藏技术的最佳防御手段。
隐藏方式二:解决验证码问题,掩饰非人类登录行为
隐藏方式三:修改HTTP报头数据,规避检测
隐藏方式四:基于地理分布API请求,绕开允许和拒绝列表
-
利用工具对有效账户系统及应用登录失败身份验证日志监控,如果身份验证失败率太高,极有可能是利用已有的合法登录凭证在进行撞库攻击。另外,通过微步在线威胁感知平台TDP可识别撞库行为,实时监测撞库攻击,并进行告警。 -
采用多因素身份验证(MFA)或双因素身份验证(2FA)。这基本是目前最有效的预防方法之一。多因素身份验证相当于在密码之外,增加第二个或者更多的身份验证,比如短信验证码、人脸识别、指纹识别、安全问题的答案等等。这样一来,即便是用户的登录凭证被盗,攻击者仅知道简单的用户名与密码组合也不足以成功发起撞库攻击。 -
采取强密码策略。建议强制使用至少8位数包含数字、字母、字符、大小写、无序的复杂密码,并且一个密码仅用于一个账号。也可以利用密码管理器创建与管理随机密码,减少账号被攻击的可能。 -
图片验证码。许多撞库攻击以及暴力猜解都是自动脚本机器人执行,所以采取验证码(CAPTCHA)验证能够很好地阻止攻击,不过需要防止验证码被破解的问题,可以适当增加验证码生成的难度。 -
基于IP的限制访问。针对攻击者仅在少数IP间切换的不太复杂情况,这是一种非常基本但有效的办法,最直接的就是将IP地址和一系列IP加入黑名单。不过有两个原则需注意:黑名单为临时性的,避免阻止合法用户的登录,并分别跟踪每个用户的登录失败情况;其次是存储用户IP地址并跟踪登录成功的IP地址,以免阻止合法用户。 -
用户账户使用策略与账户管理。在账号登录失败达到一定次数后则锁定账号,防止密码猜解。同时,在检测到暴力撞库攻击或者暴力猜解后,主动重置已失陷账户。
最后,建议企业进行多层次纵深防御。对于企业来说,防御多一层,被攻击成功的风险就少一点。从基本的密码管理,到账户管理,再到安全验证,每一个层面都可能成为企业安全最关键的一道防护墙。
内容参考:csoonline.com
微步在线威胁感知平台TDP
可有效检测撞库攻击,及时告警
欢迎扫码联系我们
↓↓↓
原文始发于微信公众号(微步在线):黑客隐藏撞库攻击的四种方式曝光 |【微步荐读】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论