“晚报：“京东数据库泄露”究竟是什么”

本篇文章1552字，读完约4分钟

今天下午，很多qq群里一定流传着京东数据库被泄露的截图。 请大家赶紧出钱。

但是，今晚京东官方回应称，经过内部调查，数据库不是泄露，而是被盗号。 北京东注册客户中未启用安全设置(邮箱验证、手机验证、支付密码和数字证书)的客户，建议尽快打开，以确保账户和资金的安全。

乌云调查显示，京东的数据库没有脱裤子，只是无聊的黑客恶作剧，通过收集泄露到网上的顾客+密码新闻，生成对应的词典表，批量登录京东网站后，罗

这种攻击方法被称为“撞库攻击”

根据大量的客户数据，尝试使用与客户相同的注册习性(相同的客户名称和密码)登录其他网站。 年，网络泄露事件引爆了整个新闻安全界，之前流传的顾客+密码认证的方法已经不能满足现有的安全诉求。 流失数据为:天涯: 31、758、468件，csdn:6、428、559件，微博: 4、442、915件，所有人网: 4、445、047件，猫扑: 2、644、726件、177件

除了撞库攻击之外，还有常见的攻击方法吗？ (知乎)

浏览不安全的第三方应用程序

第三方开放源代码应用程序、组件、库、框架和其他软件模块

由于第三方应用程序是与业务系统并行部署的，因此如果使用易受攻击的第三方应用程序，这种攻击可能会导致重大的数据盗窃和系统崩溃。

xss跨站点脚本攻击/csrf

代码注入的一种类型，xss在应用程序获取不可靠的数据并将其发送到浏览器或支持客户端脚本语言容器时，没有进行适当的验证和转义。 xss允许攻击者在受害者的浏览器中执行脚本行，从而接管客户会话、破坏网站的dom结构、将受害者重定向到恶意网站。

系统错误/逻辑缺陷引起的自动枚举

由于应用系统本身的业务特性，为了解决数据，将打开多个接口。 如果接口或功能未经过严格的安全控制或评估，黑客将加快攻击应用程序的过程，从而大大降低黑客发现威胁的人力成本。

随着模块化自动攻击套件的完备，将对应用程序造成最大的威胁。

填补漏洞

注入缺陷不限于sql，还包括指令、代码、变量、http响应头、xml等的注入。

程序员编写代码时，如果未评估客户输入的数据的有效性，并且不可靠的数据作为命令或查询的一部分发送到解释器，则会发生注入。 攻击者的恶意数据欺诈解释器执行意想不到的指令，或访问未经准确批准的数据。

应用错误配置/默认配置

几个应用程序、中间件和服务端程序在部署之前缺乏比安全基线更严格的安全配置定义和部署。

方便攻击者实施进一步的攻击。 一般风险: flash默认配置、访问数据库默认地址、webdav配置错误、rsync错误配置、应用服务器、web服务器、数据库服务器都包含管理功能的默认后台程序

泄露敏感消息

中间件配置新闻、dns新闻、业务数据新闻、客户新闻、源备份文件、版本控制工具新闻、系统错误新闻、敏感地址新闻(后台或测试地址)的

未经授权的访问/绕过权限

许多业务系统应用程序只在客户端检查授权新闻，或者不限制访问控制规则。 如果服务端不完全检查客户端的请求，攻击者就可以伪造请求，访问未经授权的功能。

账户体系控制不严格/越权操作

与认证和会话管理相关的应用功能经常被攻击者利用，攻击者从构建的社会工程数据库中检索顾客密码，或者利用通过新闻泄露获得的密钥、会话token、gsid和其他新闻进行授权控制访问 如果服务端没有对客户端的请求进行身份所有者验证，攻击者可以通过伪造请求，越权盗取所有业务系统的数据。

公司内部重要资料/文档流失

无论是公司还是个人，都越来越依赖于电子设备的存储、解决和新闻传输能力。

公司的重要数据新闻作为文件存储在电子设备和数据中心。 公司的员工和程序员为了方便办公室，经常将敏感数据复制到移动存储介质或访问互联网。 如果新闻被泄露，直接发生公司安全隐患的概率就会增加。

来源：成都新闻网