--------------------------2020-02-06------------------ - ——武汉加油！加油，中国！ -----------------------今年可能是我们和父母相处时间最多的一年-----和平与胜利----- -- --------------------------

你知道拖数据库、崩溃数据库、清理数据库吗？什么是脱裤（因谐音，也常被称为“脱裤”）。

拖仓行为如今已被黑色产业彻底黑化。说到拖仓，大家立刻就能想到非法行业。谁能想到，他们其实是在做正事。

拖库原本是数据库领域的一个术语，指的是从数据库中导出数据。本来这么简单的事情，经过非法黑客的多次攻击，已经被用来指代非法黑客入侵有价值的网络站点并窃取所有注册用户信息数据库的行为。

说到拖仓，就不得不提他兄弟的“裂仓”和“洗仓”

数据库填充和数据库清洗

数据库洗钱：黑客在获取大量用户数据后，会通过一系列技术手段和黑色产业链将有价值的用户数据变现。这通常称为“数据库洗钱”。

撞库：黑客尝试使用其他网站上获得的数据进行登录，这称为“撞库”。由于许多用户喜欢使用统一的用户名和密码，因此“撞库”也可以为黑客带来巨大的收益。

黑客如何获取用户数据（拖库过程）

拖动库的通常步骤是：

首先，无良黑客扫描目标网站以查找漏洞。常见的漏洞包括SQL注入、文件上传漏洞等；

其次，利用该漏洞在网站服务器上建立“后门（）”，通过后门获取服务器操作系统的权限；

第三，使用系统权限直接下载备份数据库，或者找到数据库链接导出到本地。

拖库的技术手段：

(1)远程下载数据库文件

使用这种拖拽方式主要是由于管理员缺乏安全意识。在做数据库备份或者方便数据传输时，数据库文件直接放在Web目录下。但web目录没有权限控制，任何人都可以访问；还有就是网站使用了一些开源程序，并没有修改默认数据库；事实上，黑客每天都会利用扫描工具对各大网站进行疯狂扫描。如果你备份的文件名落入黑客的字典中，那么就很容易被黑客扫描并下载到本地。

(2)利用Web应用程序漏洞

随着开源项目的成熟发展，各种Web开源应用和开源开发框架的出现，很多初创公司为了降低开发成本，会直接引入那些开源应用，但并不会关心其后续的发展。安全。黑客知道目标代码后，就会对其进行深入的分析和研究。当高危零日漏洞被发现时，这些网站将面临被拖垮的危险。

(3)利用Web服务器漏洞

Web安全实际上是Web应用安全和Web服务器安全的结合； Web服务器安全由Web容器安全和系统安全两部分组成。系统安全通常是通过添加外部防火墙、封锁外部服务端口来处理的，但是Web容器却必须对外开放，所以如果Web容器出现漏洞，网站也会面临被攻击的危险。拖。

社会工程大致有以下几种类型：

(1) 水坑攻击

黑客会利用软件或系统漏洞在特定网站安装木马。如果网站管理员在维护系统时不小心访问了这些网站，就会在不打补丁的情况下被植入木马。引发后续积压风险。

(2) 电子邮件钓鱼

黑客会使用一些反杀木马，并将其与管理员感兴趣的一些信息绑定，然后通过电子邮件发送给管理员。当网站管理员下载并运行它们时，也会导致服务器被植入木马，造成后续的拖仓风险。

(3) 社会工作管理员

对目标网站的管理员使用社会工程方法来获取一些敏感的后端用户名和密码。这导致了库的后续拖拽。

(4)XSS劫持

有时黑客会利用网站钓鱼的方式，诱骗用户主动输入信息，以获取某些网站的账户信息。但这种方法只能获取部分账户的真实信息，并不能侵入服务器。

如何避免“脱裤子”？

1、从数据库角度防止库拖拽

数据库密码存储防拖库设计

目前，大多数网站都会加密密码信息并将其存储在其数据库中。常见的是MD5加密。从理论上讲，这种方法是不可逆的，但仍然不安全。只要将所有常见密码枚举出来，做成索引表，就可以推导出原始密码。这就是索引表也称为“彩虹表”。

面对上述风险，主流网站后台数据库中的密码存储都是在MD5的基础上加盐的；因此，不是只保存加密后的密码，而是先将密码和随机数连接起来，然后一起加密。结果放置在密码文件中。

随着技术的发展，出现了强认证技术，即二次认证密码：系统除了对固有密码进行加密存储外，还自行生成加密密钥。已广泛应用于金融行业、支付行业。我们使用短信验证码、动态令牌、Ukey、密钥文件等形式比较频繁。

数据库数据交互防拖库设计

根据自身业务特点和自身IT技术实力，前端应用与后端数据库交互过程中，建议设计统一的查询接口，方便管理和监控，并设置黑白名单政策。

在数据库管理和维护过程中，可以使用专业的运维防护工具，例如数据库安全网关、堡垒机等。

对数据库进行全面监控，包括访问状态、数据交互状态、风险操作状态、网络流量等信息。一旦发现危险操作，可以及时处理。

2、从用户角度进行自我防范

1、分级管理密码，对重要账户（如常用邮箱、在线支付、聊天账户等）设置单独密码；

2、定期更改您的密码，有效防止网站数据库泄露对您的账户造成影响；

3、不得使用工作邮箱注册网上账户，以免密码泄露，危及企业信息安全；

4、不要让电脑“自动保存密码”，不要随意在第三方网站输入账号和密码。即使是个人电脑，也必须定期手动强制注销所有已登录的站点，以执行安全退出；

用户数据与黑色产业（数据库洗钱操作）：

随着地下产业链的成熟，用户数据可以快速转化为现金。

（1）用户账户中的虚拟货币、游戏账户、装备等都可以通过交易变现，也就是俗称的“账户盗窃”。

（二）支付宝、网银、信用卡、股票账号、密码等金融账号和密码可用于实施金融犯罪、诈骗。

（3）最后，一些可以分类的用户信息，如学生、上班族、老板等，多用于发送广告、垃圾短信、电商营销等。还有专门的广告公司花钱购买这些机密信息。

快速的利润和高额的回报也让越来越多的黑客铤而走险。 （刑法中非法侵入计算机系统罪可判处三年至七年以下有期徒刑。）对于信息泄露的受害者来说，根据泄露的信息类型，他们的生活将受到不同程度的影响。

常见的撞库操作

撞库是指黑客收集互联网上泄露的用户和密码信息，生成字典表，尝试批量登录其他网站，从而获取一系列可以登录的用户。在不同网站上使用相同的帐户和密码，黑客可以通过获取A网站上的用户帐户来尝试登录B网站。

三种最常见的撞库方法：

第一个：用n个密码字典打m个账户。表现为一个账户可能在短时间内有多次密码尝试。因此，您可以在帐户级别添加限制。例如，如果账户每天密码错误超过5次，您将被禁止登录1天（或者验证短信/密码安全问题后才能登录）。

第二种：用多个密码打n个账号。这样的表现就是密码出现的频率会很高。因此，可以统计一段时间内密码错误的次数。当超过一定阈值时，一段时间内该密码错误次数禁止登录（或者验证短信/密码安全问题后才能登录）。

第三种方法：使用n组一一对应的账户密码来创建撞库。这种情况下，撞库从账号和密码的角度来看不会造成明显的异常。

如何防止撞库

1.IP封禁。如果一段时间内单个IP地址密码错误次数超过阈值，该IP将在一段时间内被禁止登录（或者验证短信/密码安全问题后才能登录）。不过，正如大家所说，现在代理IP已经相当便宜了，从IP层面禁止它们基本上是没有用的。

2、建立IP画像数据库，对代理IP、IDC IP等高风险IP直接禁止登录（或登录前验证手机短信/安全问题）。自己搭建IP肖像库的成本可能有点高，所以可以考虑向安全厂商购买类似的服务。

3、现在比较流行的行为验证码，比如拖条、点击、拼图等各种验证码。我只是说，如果你以前不需要验证码登录，现在需要添加验证码，你可能就要和产品打架了。一般来说，后期操作时，产品也会同意添加验证码。

4.从设备层面进行识别和禁止。通过在客户端植入SDK，收集用户设备信息，从设备层面实施高频策略，或者直接识别异常设备，然后封堵设备。

5、从行为层面进行识别和禁止。和上面一样，在客户端植入sdk来收集用户在登录页面的交互行为。通过机器学习和大数据建模，训练正常用户和异常用户的行为模型。 ，在交互行为层面，识别撞库行为。这需要预先训练的行为模型。现在机器学习这么好了，大家都知道自己训练一个模型肯定需要大量的标注数据，这就意味着成本。所以还是建议找安全厂商去做。毕竟专业的人做专业的事，才靠谱！