阿里云安全團隊最近檢測到越來越多的數(shù)據(jù)庫命中攻擊。隨著大數(shù)據(jù)看到更多和更廣泛的應(yīng)用，忽視這些攻擊的重要性將是愚蠢的。

什么是數(shù)據(jù)庫命中攻擊？它有什么負面影響？更重要的是，專注于服務(wù)開發(fā)的公司如何消除對信息安全的威脅？在本文中，我們將詳細討論這些問題。

?

國際阿里云代理 實名賬號出售/代充：http://hkonecloud.usa-idc.com/aliyun/ecs.html

支持業(yè)務(wù)辦理：

國際阿里云、華為云、騰訊云、谷歌云、亞馬遜云、微軟云、短信簽名驗證碼、

GPU服務(wù)器、對象存儲oss、云數(shù)據(jù)庫、負載均衡SLB、彈性IP

備案域名、高防ip、彈性服務(wù)器、cc防御，DDOS防御，地區(qū)+服務(wù)器。

阿里云服務(wù)，助力企業(yè)輕松上云，賬號申請及售后服務(wù)請聯(lián)系：TG客服：@daishu01

懶惰可能是“成功”數(shù)據(jù)庫命中攻擊的主要原因。

數(shù)據(jù)庫命中攻擊不是很復(fù)雜。例如，您可能有一個用戶名為 abc@xx.com?的電子郵件帳戶，密碼為 x6！00AL5y@（復(fù)雜且安全）。但是，為了方便起見，您使用相同的帳戶在Facebook，攜程，淘寶，微信等上注冊了帳戶。使用相同的郵箱帳戶和密碼會帶來安全風險。這是一種常見的做法，因為記住不同的帳戶/密碼組合可能會很煩人。結(jié)果，該帳戶被黑客竊取，可能是因為您的郵箱泄露了個人信息或出于粗心大意。黑客可以使用相同的信息登錄您的所有帳戶。然后，您帳戶中的所有信息都將被盜。

數(shù)據(jù)庫命中會影響企業(yè)嗎？

以上后果是從用戶的角度出發(fā)的。從公司的角度來看，數(shù)據(jù)庫命中的影響要大得多。當數(shù)據(jù)庫發(fā)生攻擊時，黑客開始維護“社區(qū)工作者庫”。這些庫保存了大量準確且配對的用戶名/密碼信息。當黑客決定對網(wǎng)站采取行動時，他們會使用庫中的每個條目暴力破解登錄網(wǎng)站。如果圖書館中的信息足夠，從定量到定性變化，那么黑客就可以利用大量的帳戶。

遭受數(shù)據(jù)庫攻擊的網(wǎng)站經(jīng)常受到意外打擊。特別是對于初創(chuàng)企業(yè)來說，他們沒有足夠的安全準備來應(yīng)對突然的數(shù)據(jù)庫命中攻擊。請考慮以下方案：

一個P2P網(wǎng)站成為數(shù)據(jù)庫攻擊的受害者，數(shù)以萬計的資金通過暗網(wǎng)轉(zhuǎn)移。該公司不想被追究責任并消失了。

一個游戲論壇被數(shù)據(jù)庫點擊所害。許多玩家的游戲帳戶被盜，他們購買的設(shè)備丟失。

盡管數(shù)據(jù)庫命中不會直接影響用戶的興趣，但黑客可以出售他們在網(wǎng)上竊取的帳戶和用戶信息，例如ID，手機號碼和銀行卡號。他們還可能利用個人信息通過偽造身份欺騙金融機構(gòu)。這些損害可能會嚴重損害公司的聲譽、形象和用戶體驗。

根據(jù)我們的安全團隊收集的統(tǒng)計數(shù)據(jù)，每天檢測到數(shù)百次攻擊。每次攻擊平均包括數(shù)百個數(shù)據(jù)庫命中登錄請求。即使在刪除重復(fù)項后，在這些日常攻擊中仍然有數(shù)十萬個用戶名/密碼組合。更嚴重的是，這些帳戶和密碼的組合就像黑客的“彈藥庫”。它們通過竊取越來越多的公司數(shù)據(jù)庫來保持更新。

令人尷尬的是，數(shù)據(jù)庫命中攻擊的成本和技術(shù)門檻很低。黑客只需要從論壇下載社區(qū)工作者庫并運行腳本。目前，沒有法律法規(guī)規(guī)定懲治這種行為。

有沒有一種方法不需要昂貴的安全資源，但仍能讓您抵御數(shù)據(jù)庫命中？

是的，您可以使用阿里云安全 Web 應(yīng)用防火墻 （WAF）。WAF提供“10分鐘解決方案”，幫助用戶處理數(shù)據(jù)庫命中。首先，WAF 用戶需要 5 分鐘才能完成在線訪問。新配置規(guī)則的有效期僅為 2 分鐘。Web 應(yīng)用程序受云安全保護 10 分鐘。您只需單擊一個按鈕，即可防御 SQL 注入、XXS 和特洛伊木馬等常見攻擊。

WAF 3.0最近開發(fā)了一種名為數(shù)據(jù)風控的新型“黑科技”。它將網(wǎng)絡(luò)安全防護能力與阿里云安全的服務(wù)安全風險控制相結(jié)合，輕松解決以下問題。

? 數(shù)據(jù)庫命中攻擊和暴力破解導(dǎo)致的用戶信息泄露

? 黃牛、假票、假優(yōu)惠券、假紅包等惡意行為

? 惡意冒短信驗證碼和短信接口產(chǎn)生的短信費用

? 惡意注冊垃圾賬戶

? 狙擊機器人的惡意干擾

WAF如何處理數(shù)據(jù)庫命中和類似攻擊？

黑客也很懶惰。他們不會手動提交數(shù)十億條數(shù)據(jù)庫命中信息。相反，他們使用自動化工具（如機器人）為他們工作，并雇用大量稱為僵尸計算機的代理。為了規(guī)避傳統(tǒng)的安全設(shè)備，一些黑客甚至在攻擊期間使用速率限制，以避免被安全策略標記。

從請求訪問您網(wǎng)站的那一刻起，WAF就采用復(fù)雜的人機識別模型來分析訪問者是否符合正常用戶的行為。例如，普通用戶在沒有頁面訪問或登錄門戶時不直接提交登錄請求，但數(shù)據(jù)庫命中攻擊會。除了分析行為，WAF還將流量信息和用戶的瀏覽器信息與阿里云大數(shù)據(jù)信息（包括僵尸計算機、惡意IP、惡意腳本、惡意軟件等）相結(jié)合。以最終確定請求是否正常且可靠。

當普通用戶訪問站點時，他們不知道分析過程。他們像往常一樣登錄，注冊，驗證或狙擊產(chǎn)品。但是，當用戶被懷疑有不自然行為時，WAF會在數(shù)據(jù)風控的關(guān)鍵接口（如注冊和登錄）進行人機識別和驗證，直到確認用戶正常為止。這意味著保護是精確和有針對性的，盡可能避免對普通用戶產(chǎn)生負面影響。

沒有阿里云國際版賬戶怎么辦？無法完成PayPal支付購買阿里云國際ecs實例？ecs實例續(xù)費出現(xiàn)問題？阿里云國際版賬戶被風控？USA-IDC是阿里云、華為云、騰訊云國際版金牌分銷商，可代充值，通過分銷商注冊的賬戶不易被風控，且還有額外折扣可享。