什么是撞库及撞库攻击的基本原理

最新推荐文章于 2025-09-16 20:36:34 发布
原创 最新推荐文章于 2025-09-16 20:36:34 发布 · 2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #撞库攻击 #拖库

6月26日,QQ出现大规模盗号,原因是用户扫描伪造的游戏登录二维码并授权。专家指出,问题可能在于QQ授权的第三方平台,而非QQ自身。撞库攻击通过拖库获取用户信息,再尝试登录其他网站,成功率高。2017至2019年间,Akamai观察到854亿多次撞库攻击。用户应加强密码保护,平台需提升登陆验证安全性,监管机构应加大打击力度。

6月26日晚,我国大型聊天软件QQ出现了大规模盗号情况,而且是在QQ号本人在线时出现了被盗情况。

6月27日中午,腾讯QQ发布声明称:6月26日晚上10点左右,收到部分用户反馈QQ号码被盗。QQ安全团队高度重视并立即展开调查,发现主要原因是用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。

为什么扫描不法分子伪造的游戏登录二维码并授权登录,就会被盗号呢?

大家在新的平台申请账号密码的时候,通常可以选择关联其他平台账号,直接登陆。这时,此平台就会保留其他平台的账号数据。通过扫描伪造的二维码授权信息后,不法分子就能获得你真正的账号密码。

 

来自数美科技黑产研究院专家宇航在接受新闻采访时分析认为,QQ生态相对来说较为开放,本身用户体量大。由于生态非常开放,用户数据不仅可以授权给很多游戏平台,还可以授权给其他第三方社交媒体平台,在授权的过程中,用户的数据也顺带授权过去。

该专家分析称,“此次事件暴露出来的问题,本身更多的责任可能并不在于QQ,而是

最低0.47元/天 解锁文章
数据泄露危机:如何防范和应对攻击
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
07-02 363
在当今数字化时代,数据安全成为个人和企业最为关注的话题之一。随着数据泄露事件的频发,黑客利用泄露的用户凭据进行攻击的案例也屡见不鲜。本文深入探讨了数据泄露引发的攻击现象,从其基本概念到实际防范和应对策略,为读者提供全面的分析和建议。通过详细的讨论,旨在帮助个人和企业有效保护敏感信息,防范未来可能的安全风险。
NTLM重放攻击工作原理、危害及防御措施
携手驰网小林一同探索拥有一台服务器可以做哪些很酷的事情吧~
09-25 1179
2004年,发展为由HTTP协议重放至SMB协议的NTLM认证过程,即在HTTP协议中使用的NTLM认证信息重放至SMB协议的NTLM认证过程,该方式在Black Hat会议上发布,但是作者未公开发布对应的攻击工具,直到2007年,类似功能的工具才被集成到MetaSploit平台,可以进行跨应用层协议的重放攻击;因此,即使中间人攻击者已经认证到应用服务器,但是由于无法进行签名,不能与应用服务器进行后续的会话操作,即使通过重放攻击完成认证也没有实际意义,这就是微软采用签名对抗NTLM重放攻击的原理。
深入浅出了解攻击!(非常详细),零基础入门到精通,看这一篇就够了
xiangxue666的博客
11-15 3329
深入浅出了解攻击!(非常详细),零基础入门到精通,看这一篇就够了
倾家荡产、隐私全无?独家揭秘攻击
aa23252658787的专栏
03-07 1379
倾家荡产、隐私全无?独家揭秘攻击! 原创阿里云安全团队优快云今天 作者 |谭冠群、PA Shanshan,阿里云安全专家 责编 | 唐小引 头图 | 优快云 下载自东方 IC 出品 | 优快云(ID:优快云news) 的原理和危害 “”在网络安全中是一个古老的概念,按中文的字面意思解读,就是“碰数据库”的意思。“碰”意味着碰运气...
、洗
最新发布
2301_78043557的博客
09-16 453
= 获取原始数据库= 处理/破解数据= 用处理后的数据进行攻击一个完整的黑灰产链条往往是:👉 → 洗 → 变现(卖数据、盗号、洗钱、诈骗)
深入浅出了解攻击
A_991128a的博客
01-02 2266
有人的地方就有江湖,有账号的地方就有。密码制度本身因安全需求而生,却也带来了这类的风险。我们相信,未来密码会越来越多的被其他体验更好、安全性更高的身份校验方式所取代,而这些方式或许又存在隐私、合规相关的问题。最好的方案似乎永远要在安全、便利、隐私这几个因素之间互相平衡。着眼于当下,用户名/密码的形式依然主导着绝大多数站点的账号管理方式,因此以攻击为代的账号安全问题依然需要引起个人用户和企业的足够重视。希望本文能够给您带来一些参考和帮助,共同建设更安全的互联网!
详解
chen__an的博客
05-10 1万+
攻击是如今最常见的攻击,给企业带来巨大威胁。带来的威胁往往不是直接的,但是由此造成的信息泄露以及进一步的渗透与攻击会更为严重。Akamai的报告显示,2018年五月到十二月期间,共发生了约280亿次攻击,其中零售网站是遭遇攻击最多的,累计超过100亿次。 很多企业已经开始注重防范攻击,但可能并不清楚攻击已经形成了一条完整产业链。近日,Recorded Future发布了一份...
机器人的洪流:刷那些事儿
AliMobileSecurity的博客
08-31 2956
面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么、住在哪里、买了什么东西、花了多少钱。这些信息骗子们是从哪里得来的呢?
什么是和洗
weixin_51291483的博客
11-29 1528
(小偷想办法进入室内)(小偷盗走值钱的东西)由小偷想要入室盗窃的前提就是可以入室,那么,在互联网中,黑客一般都是利用网站自身存在的漏洞来入侵的。这里说的网站漏洞包括网站应用自身的漏洞、网站使用的WEB服务器的漏洞、网站使用的开源框架中的漏洞、网站使用的数据库漏洞等。黑客还有可能会利用系统漏洞,在特定的网站上进行挂马,如果网站管理员在维护系统的时候不小心访问到这些网站,就可能被植入木马,也会引发后续的风险。“洗”,属于黑客入侵的一种,就是黑客入侵网站,通过技术手段将有价值的用户数据归纳分析,售卖变现。
五个新手入门网络安全网站,从零基础到精通,收藏这篇就够了!
leah126的博客
04-11 1249
如果你渴望挑战,渴望与全球的安全专家一较高下,HTB 绝对是你的不二之选。你可以根据自己的需求选择不同的课程,从入门到精通,一步到位。选择哪个,就看你的需求了。它不是那种填鸭式的灌输,而是手把手教你如何像个“黑客”一样思考(当然,是合法的!这地方就像是蓝队领域的“黄埔军校”,能让你快速掌握核心技能,为进入SOC或者从事防御性网络安全工作打下坚实的基础。选择合适的资源,培养自己的核心技能,才能在这个充满挑战的世界里脱颖而出!如果你想系统地学习蓝队技能,甚至拿到相关的认证,安全蓝队是个不错的选择。
mysql暴力与弱密码检测
qiuxinbo的博客
09-28 3177
暴力与弱密码检测 最近在生产数据库上碰到了一个问题,觉得挺有意思,总结出来和大家分享下。 关于暴力和弱密码检测。 相信使用数据库的大家应该都不陌生,暴力,简单通俗的讲通过一堆生成的密码,然后用默认用户去登陆你的数据,不断尝试,直到登陆到你数据库内。 下面讲下事情的始然吧 偶尔的一次巡检,查询mysql的errlog,发现了大量的Acces denied 如下图所示: 当时哥后背一凉,...
网络安全——那些事儿
Galaxy_0的博客
09-15 890
,是指黑客利用互联网上已经泄露的账号密码,在各大网站进行批量的自动登录,也可以理解为黑客拿着用户A网站的账号密码,到B/C/D/E等平台尝试登录的过程。
安全渗透测试工具整理
公众号:乌云安全
03-14 3262
入门指南 Web Hacking 101 中文版:Web Hacking 101 中文版 · Web Hacking 101 中文版 浅入浅出Android安全 中文版:浅入浅出 Android 安全 中文版 · 浅入浅出 Android 安全 Android 渗透测试学习手册 中文版:Android 渗透测试学习手册 中文版 · Android 渗透测试学习手册 Kali Linux Web渗透测试秘籍 中文版:Kali Linux Web 渗透测试秘籍 中文版 · Kali Linux Web
热门推荐
认知 行动 坚持
09-10 2万+
间接转载地址: http://blog.youkuaiyun.com/daliaojie/article/details/42171177 一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东抹黑事件,到之前的优快云,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。 对于大多数用户而言,可能是一个很专业的名词,但是理
赶快检查你的信息被“”了吗?从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
02-12 841
”安全事故高发,已形成产业链,今年以来,“”安全事故呈现高发状态,腾讯、网易邮箱、世纪佳缘等大型社交网站和互联网厂商纷纷中枪。不法分子通过所谓的“”技术,攻击并盗取各种社交网站、电商、视频网站上有价值的账号,“”盗取用户数据的黑色产业也已形成了产业链。安全专家介绍说,“”的成功率取决于有多少人在不同网站使用了相同的账号和密码。不幸的是,很多用户都如此。比如在淘宝、微博、QQ、微信、腾讯视频等各种社交工具或者电商网站中,用户很可能使用的是相同的账号密码登录。
QQ空间扫码登录协议实现
xk
09-20 2302
QQ空间二维码登录,JS/爬虫逆向玩转qq空间协议保姆级教学—二维码登录篇账号密码登录
【MySQL每日七问】MySQL总结(一)
Stephen_Daa的博客
04-04 1057
是一种黑客攻击手段,指的是通过暴力破解的方式获取目标数据库中的账号和密码信息。一般来说,黑客会利用已经泄露的账号密码信息来尝试登录目标数据库,如果目标数据库中存在相同的账号密码,则黑客就可以成功登录,并获取目标数据库中的敏感信息。攻击通常会使用字典文件或者暴力破解工具来进行,它们会尝试使用各种可能的组合来猜测账号密码。为了防止攻击,我们需要采取一些安全措施,例如加强账号密码的复杂度和安全性、禁止使用弱密码、定期更换密码、启用多重身份验证等。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值