撞库攻击

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户名和密码组合。由于很多用户在不同网站使用的是相同的账号和密码，因此黑客可以通过获取用户在 A 网站的账户从而尝试登录B网站，这就可以理解为撞库攻击。
 

某知名公司子站存在撞库风险

步骤一:某知名公司官方网站用户登录有验证码校验机制，但有个子站没有限制登录次数，因此可利用该子站进行撞库攻击，在该子站验证成功后再返回主站进行登录，如图 所示。

 

 步骤二: 如图 所示，利用捕获到的数据包通过Burp Suite的intruder模块进行撞库攻击。

 

步骤三:利用该子站撞库攻击的结果，返回主站登录尝试，如图 所示，成功登录主站。

 

 防范账号泄露的相关手段
随着互联网和各类网络应用的快速发展，关于保护账号安全的措施也迫在眉睫。总结本章的账号安全相关案例，建议企业在防护账号和密码方面使用如下措施:
(1) 核查数据库中的账号和密码存储方