專業(yè)術(shù)語

在黑客術(shù)語里面，”拖庫“是指黑客入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因?yàn)橹C音，也經(jīng)常被稱作“脫褲”，360的庫帶計(jì)劃，獎(jiǎng)勵(lì)提交漏洞的白帽子，也是因此而得名。在取得大量的用戶數(shù)據(jù)之后，黑客會(huì)通過一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價(jià)值的用戶數(shù)據(jù)變現(xiàn)，這通常也被稱作“洗庫”。最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進(jìn)行嘗試登錄，叫做”撞庫“，因?yàn)楹芏嘤脩粝矚g使用統(tǒng)一的用戶名密碼，”撞庫“也可以是黑客收獲頗豐。

上游→中游→下游
拖庫→洗庫→撞庫

撞庫攻擊

關(guān)于 WEB 安全

Web安全實(shí)際上是Web應(yīng)用和Web服務(wù)器安全的結(jié)合體；而Web服務(wù)器的安全則是由Web容器和系統(tǒng)安全兩部分組成，系統(tǒng)安全通常會(huì)通過外加防火墻和屏蔽對外服務(wù)端口進(jìn)行處理，但Web容器卻是必須對外開放，因此如果Web容器爆出漏洞的時(shí)候，網(wǎng)站也會(huì)遭到拖庫的危險(xiǎn)。

社會(huì)工程學(xué)方面的攻擊

（1）水坑攻擊
黑客會(huì)利用軟件或系統(tǒng)漏洞，在特定的網(wǎng)站上進(jìn)行掛馬，如果網(wǎng)站管理員在維護(hù)系統(tǒng)的時(shí)候不小心訪問到這些網(wǎng)站，在沒有打補(bǔ)丁的前提下，就會(huì)被植入木馬，也會(huì)引發(fā)后續(xù)的拖庫風(fēng)險(xiǎn)。
（2）郵件釣魚
黑客會(huì)利用一些免殺的木馬，并將其和一些管理員感興趣的信息綁定，然后通過郵件發(fā)送給管理員，而當(dāng)網(wǎng)站管理員下載運(yùn)行后，也會(huì)導(dǎo)致服務(wù)器植入木馬，引發(fā)后續(xù)的拖庫風(fēng)險(xiǎn)。
（3）社工管理員
對目標(biāo)網(wǎng)站的管理員進(jìn)行社會(huì)工程學(xué)手段，獲取到一些敏感后臺(tái)的用戶名和密碼。從而引發(fā)的后續(xù)拖庫。
（4）XSS劫持
有時(shí)黑客也會(huì)為了獲取某一些網(wǎng)站的帳號信息，他們會(huì)利用網(wǎng)站釣魚的手段去欺騙用戶主動(dòng)輸入，但這種方式只能獲取部分帳號的真實(shí)信息，并沒有入侵服務(wù)器。

用戶怎樣保護(hù)自己的隱私

• 重要網(wǎng)站/APP的密碼一定要獨(dú)立，猜測不到，或者用1Password這樣的軟件來幫你記憶；
• 不要在公共場合（如咖啡廳、機(jī)場等）使用公共無線，自己包月3G/4G，不差錢，當(dāng)然你可以用公共無線做點(diǎn)無隱私的事，如下載部電影之類的；
• 自己的無線AP，用安全的加密方式（如WPA2），密碼復(fù)雜些；
• 離開電腦時(shí)，記得按下Win+L鍵，鎖屏，這個(gè)習(xí)慣非常非常關(guān)鍵；Mac下面是ctrl+shift+power

參考文獻(xiàn)

撞庫攻擊：一場需要用戶參與的持久戰(zhàn)