网易首页 > 网易科技 > 互联网 > 正文

晚报:“京东数据库泄露”究竟是什么

0
分享至


今天下午,想必不少qq群里都流传着这样一张截图,说是京东数据库泄露了,让大家赶紧把钱转出来。

不过今晚京东官方回应称,经过内部调查,并非数据库泄露,而是被盗号了。建议广大京东注册用户中还没有启用安全设置(邮箱验证,手机验证,支付密码与数字证书)的用户,请尽快开启,以保障账户及资金安全。

而据乌云的调查,京东的数据库没有被脱裤,只是无聊黑客的恶作剧,他们通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆京东网站后,拿出几个能够登陆的用户来说事!

这种攻击手法被称为“撞库攻击”


以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,Adobe:1.5亿,Cupid Media:4200万,QQ数据库:大于6亿,福布斯:100万,接近9亿多条。

除了撞库攻击,还有哪些常见的攻击方法呢?(来自知乎)

引用不安全的第三方应用

第三方开源应用、组件、库、框架和其他软件模块;

由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。

XSS跨站脚本攻击/CSRF

属于代码注入的一种,XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。

系统错误/逻辑缺陷带来的自动化枚举

由于应用系统自身的业务特性,会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。

随着模块化的自动化攻击工具包越来越趋向完善,将给应用带来最大的威胁。

注入漏洞

注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。

程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。

应用错误配置/默认配置

数应用程序、中间件、服务端程序在部署前,未针对安全基线缺乏严格的安全配置定义和部署,

将为攻击者实施进一步攻击带来便利。常见风险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器、数据库服务器自带管理功能默认后台和管理口令。

敏感信息泄露

由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。

未授权访问/权限绕过

多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。

账户体系控制不严/越权操作

与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库,检索用户密码,或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验,攻击者可通过伪造请求,越权窃取所有业务系统的数据。

企业内部重要资料/文档外泄

无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。

企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信息外泄,将直接加重企业安全隐患发生的概率。

相关推荐
热点推荐
突发!“俄战机坠海”

突发!“俄战机坠海”

环球时报新闻
2024-03-29 08:16:08
妻子被辱母亲被打瘫痪,老实人郑永军提刀上门,灭门村霸一家

妻子被辱母亲被打瘫痪,老实人郑永军提刀上门,灭门村霸一家

苏大强专栏
2024-03-22 22:16:47
高端大气尖头细跟,演绎气质潮流范儿,女性味道让你无法抵挡!

高端大气尖头细跟,演绎气质潮流范儿,女性味道让你无法抵挡!

小琳讲故事
2024-03-29 10:50:03
首次访华就给下马威?中国当场撤走仪仗队:摆正态度,想好了再来

首次访华就给下马威?中国当场撤走仪仗队:摆正态度,想好了再来

环球Talk
2024-03-02 23:55:00
为男友摘子宫,剃寸头打舌环,从影后到魔女:47岁的她活成这样……

为男友摘子宫,剃寸头打舌环,从影后到魔女:47岁的她活成这样……

最潮生活
2024-03-21 21:49:15
这是安卓13.0内置了国家反诈吧,还没法关闭

这是安卓13.0内置了国家反诈吧,还没法关闭

娱真香
2024-03-28 07:55:07
奚梦瑶4岁儿子:长得像何猷君,赌王唯一男孙,却比不上二房孙女

奚梦瑶4岁儿子:长得像何猷君,赌王唯一男孙,却比不上二房孙女

黄律议法
2024-03-29 16:15:07
建议让黄河改道从江苏流入黄海,这样能给我们国家增加领土和国土

建议让黄河改道从江苏流入黄海,这样能给我们国家增加领土和国土

石辰搞笑日常
2024-03-29 07:30:13
孙颖莎2-0时,马琳坐看台却紧张噘嘴,球迷:看他表情以为快输了

孙颖莎2-0时,马琳坐看台却紧张噘嘴,球迷:看他表情以为快输了

三十年莱斯特城球迷
2024-03-28 16:00:53
75年我拍板接走一名体检“不合格”新兵,多年后他成师长

75年我拍板接走一名体检“不合格”新兵,多年后他成师长

微微的风
2024-03-26 19:31:26
网友去华为实体店买mate60,被告知“接受溢价才有货”,大骂华为却被人嘲讽了

网友去华为实体店买mate60,被告知“接受溢价才有货”,大骂华为却被人嘲讽了

可达鸭面面观
2024-03-26 21:05:23
《追风者》直到黄秘书背叛,苏辞书动手,沈图南才知自己成了笑话

《追风者》直到黄秘书背叛,苏辞书动手,沈图南才知自己成了笑话

宇林网络
2024-03-29 16:19:53
深度:湖人接连轮休詹眉的底气来自哪里?保持目前位置以不变应万变是最优解

深度:湖人接连轮休詹眉的底气来自哪里?保持目前位置以不变应万变是最优解

元爸体育
2024-03-29 11:24:50
法院明确:买了停车位,还要交停车费!物业费不含“停车费”!

法院明确:买了停车位,还要交停车费!物业费不含“停车费”!

杨哥历史
2023-11-24 10:06:52
一年用了10000次AI、画了7000次画 清华大学教授沈阳:我们正在把认知外包给AI

一年用了10000次AI、画了7000次画 清华大学教授沈阳:我们正在把认知外包给AI

每日经济新闻
2024-03-28 18:11:04
泪目!乔任梁母亲墓地看儿子,带11种食物4袋鲜花,1句话令人心酸

泪目!乔任梁母亲墓地看儿子,带11种食物4袋鲜花,1句话令人心酸

娱乐圈酸柠檬
2024-03-28 19:33:39
恭喜!汪小菲发文宣布求婚成功,晒牵手照钻戒抢镜,张兰态度引热议

恭喜!汪小菲发文宣布求婚成功,晒牵手照钻戒抢镜,张兰态度引热议

山野下
2024-03-29 08:13:54
北京一退休女教师,不串门不逛街,天天早起早收拾,全屋干净整洁

北京一退休女教师,不串门不逛街,天天早起早收拾,全屋干净整洁

阿离家居
2024-03-27 01:12:55
周五下午,突然曝出1重大消息,与咱中国息息相关!要来大动作吗

周五下午,突然曝出1重大消息,与咱中国息息相关!要来大动作吗

股市皆大事
2024-03-29 14:18:13
中国观众认定的烂片,北美观众当成宝,17天票房破20亿夺全球年冠

中国观众认定的烂片,北美观众当成宝,17天票房破20亿夺全球年冠

靠谱电影君
2024-03-26 22:56:10
2024-03-29 17:10:44

科技要闻

雷军:我们是卷王,建议BBA车主感受下时代

头条要闻

威马汽车负债超过203亿元 多位高层被抓

头条要闻

威马汽车负债超过203亿元 多位高层被抓

体育要闻

拒绝为国出战,他是足坛"天选打工人"

娱乐要闻

胡夏被曝有孩子!工作室火速辟谣

财经要闻

张维迎:如何正确理解企业家精神?

汽车要闻

找回久违的开怀大笑 试驾小米SU7 Max

态度原创

房产
亲子
游戏
家居
公开课

房产要闻

卖方“厮杀”,广州楼市掀起特价潮

亲子要闻

幼儿园的宝贝准备这九张图就够了

周末闪促 《真三国无双8:帝国》《消逝的光芒2》破史低

家居要闻

弧岛栖居,极致温柔奶油底色

公开课

30岁之前,你要学会的13件事情

无障碍浏览 进入关怀版
×