厉害了黑科技,动态安全下的防拖库原来可以这么简单!
9月28日,中国高校数据泄密违法处罚第一案诞生——国家网络与信息安全信息通报中心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4353余名学生身份信息已经造成泄露。据悉,该校招生信息管理系统存在越权漏洞、后台登录密码弱口令、重要数据无备份、无加密等多处疏漏,被犯罪分子通过拖库、刷库等不法攻击行为窃取机密数据。 这是中国高校第一案,但绝对不会是最后一案。安全分析机构Risk Based Security(RBS)发布的年中报告也佐证了这一点:截至2017年6月,全球发生了2227起数据泄露事件,黑客从中窃取了60亿条记录,这几乎是2016年被窃取的医疗和金融数据总和。 当我们不停呼吁业界提高数据安全意识和防御水平的同时,其实应该也能够感受到来自黑客世界“黑云压城城欲摧”的压力。换一个角度思考,黑客为什么能够如此“高效率”地成功“拖库”?自动化程序攻击绝对立了一大功。 先看看黑客是如何得手的! “拖库”的方法和手段多种多样,其中通过Web应用盗取后台数据库中的数据,甚至数据库整体被“拖库”的危害更为严重,也更加难以被识别和阻拦。黑客是如何通过Web应用进行“拖库”的呢? 大致手段离不开...
