一 工作进度
⑴ 如下是搜集到的数据源,并对其抽样测试;阿里和12306暂时还没找到。
⑵ 后期安排:12306及阿里数据搜集完成;写程序实现自动登录这些系统;写程序自动实现对搜集到的数据进行分类,并制作同社工网相似的排查系统。
二 工作总结
目前工作难度低,主要是信息的检索与整理统计,完成的并不是很好。一步步来,以后要善于归纳(多方面思考解决方法,找出最有效的);一周好快,下一周继续努力。
附件:
撞库资讯链接收集
撞库的著名案例:相关链接
撞库攻击:一场需要用户参与的持久战(2014-03-20):相关链接
从细节问题看京东安全(2014-05-12):相关链接
12306信息泄露系撞库攻击(2014-12-26):相关链接
12306泄密事件百度百科:相关链接
大麦网600万密码泄露(2015-08-27):相关链接
又是雅虎,又10亿账户泄露(2016-12-15):相关链接
黑客窃取9900万个淘宝账户(2016-02-02):相关链接
手把手教你“复活”乌云网(2016-09-18):相关链接
京东用户数据遭外泄(2016-12-11):相关链接
打包发布历年来泄漏出的数据库:相关链接
泄漏密码数据库下载:相关链接
国家电网被曝千万用户信息泄露(2016-12-13):相关链接
社工库查询:相关链接
FreeBuf:相关链接
撞库事件分析
缘由:12月10日晚间,京东被曝数据外泄。京东在12月11日凌晨发表声明,称该数据源于2013年Struts 2的安全漏洞,已经完成修复。相关链接
为什么会有这么多数据外泄?①之前京东的泄密被证实跟“撞库”没有关系,京东内部出现了“家贼”;②某些网站泄露了隐私信息,不法分子利用“撞库”的手段获取了用户信息。
业内人士透露,暂且很难确认是“内鬼”还是黑客盗取。
所谓“撞库”:就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。
黑客怎样获取用户数据:
技术层面:(1)远程下载数据库文件;(2)利用web应用漏洞;(3)利用web服务器漏洞。
社工层面:(1)水坑攻击;(2)邮件钓鱼;(3)社工管理员;(4)XSS劫持(5)引用不安全的第三方应用。 相关链接
用户怎样保护自己的隐私:京东对此进行了安全升级,此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。(1)多个账号密码要独立;(2)公共场合使用公共无线要谨慎等等。相关链接
相关事件:
12306”撞库”:相关链接 乌云网升级事件:相关链接
大麦网泄露:相关链接
思考:(1)怎样才能加强用户的自我安全防护意识?----防止撞库,是一场需要用户一同参与的持久战。相关链接
(2)面对信息失窃,用户诉求,企业该如果应对?积极面对,而不是却遭忽视;往往要做好危机公关处理。 相关链接
(3)一个系统对于安全处理任何在保证好用下数据安全?----备选方案(前期做好逻辑(不管任何小功能都不能出现漏洞),防止解决旧问题,又有新情况)。
总结:从京东这件事简单点看,这次事情是一件恶劣的用户数据安全和隐私泄露问题。但是,它却让越来越多的人意识到数据安全的重要性。
今天,我们的社会正从IT时代步入DT时代,数据将变成未来社会发展的驱动力量。就如马云所说,“数据将是未来的石油”。不管是消费者,还是企业,每天都在产生无限的数据。只不过以前限于技术、认识等因素的限制,人们并没有意识到数据的价值,因此也没有特别去注意。现在,无论是数据的获取、记录,还是处理和分析,人类的能力大大提高。
京公网安备 11010802041100号