黑客三件套：拖库洗库撞库怎么防？云安全界【海王】帮你忙！

你要问我去何方？我指着火焰山的方向~猪八戒文艺的发完微信朋友圈附上师徒四人的合照

却不知道他们已经被火焰山附近的妖怪盯上了，小妖的表哥的朋友的大姨子邻居刚好有猪八戒的微信好友

 ——图片来自网络安全宣传西游篇

你看，简单的一条朋友圈都有可能造成信息泄露，更何况是每天数以万计的Web应用服务呢，稍不注意就造成严重的数据泄露了！

在这个信息爆炸的时代，我们作为信息重度摄入者，我们刷新闻刷朋友圈，我们在看数据，我们创造数据，我们本身就是“数据”，当数据泄露跟自己相关的时候，我们才开始意识到数据安全的重要性。那么作为数据集合的数据库遭遇黑客攻击以后该怎么办呢？

今天小编就跟大家来聊聊数据库的黑客三件套：拖库、洗库、撞库。

拖库：导出你的用户数据

拖库本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，被用来指网站遭到入侵后，黑客窃取数据库的行为。

“拖库”的通常步骤为： 

第一，黑客对目标网站进行扫描，查找其存在的漏洞，常见漏洞包括SQL注入、文件上传漏洞等。

第二，通过该漏洞在网站服务器上建立“后门(webshell)”，通过该后门获取服务器操作系统的权限。

第三，利用系统权限直接下载备份数据库，或查找数据库链接，将其导出到本地。

SQL注入攻击：

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

目前来说，SQL注入攻击是最为常见的网络攻击手段之一，一是技术难度不高，网上也存在多款SQL注入工具；二是多数网站因为SQL语句未做严格处理，存在一些漏洞。

 ——图片来自xkcd

洗库：对你的数据整理变现

“洗库”，即对数据库中的资源按照一定的维度进行分类整理，把里面的资源进行全方面的剥夺利用。

撞库：用你的账号密码登录其他网站

黑客通过收集通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

撞库听起来像是账户暴力破解，但是还是有区别的，区别在于：撞库的密码库是已经准备好的，而暴力破解的密码是实时生成的。

拖库洗库撞库怎么防？

面对黑客的拖库、洗库、撞库、我们除了提高安全意识，加强管理，最重要的还是得对单位的信息系统进行加强防护，比如说分级管理密码，设置强密码，网站漏洞检测，网站设施安全加固，加强运营人员安全意识等等。

最快捷最有效方法可以借助一些安全应用服务帮你来防范这些恶意入侵，比如说华为云的安全服务。

云安全界的“海王”——数据库安全服务帮你忙

华为云数据库安全服务（Database Security Service）是一个智能的数据库安全防护服务，基于反向代理及机器学习机制，提供敏感数据发现、数据脱敏、数据库审计和防注入攻击等功能，保障云上数据库的安全。

支持多类型数据库：支持多种类型数据库包括：SQL Server、MySQL、PostgreSQL。

数据库安全防护：数据库防火墙( 基于查询、表或存储过程) 和权责分离。涵盖了检测、告警和实时入侵风险的防御，包括SQL注入。

数据库活动监控、审计：提供数据库列级的管理和访问活动监控。高级活动监控包括敏感数据库表和列的前后视图，可独立监控和分析数据库活动，并对未授权活动告警。

敏感数据发现：根据规则自动定位和分类敏感数据，轻松创建脱敏和审计规则。

动态数据脱敏：敏感数据被实时脱敏，确保用户不会暴露敏感信息。

 【双12特惠·低至5.8折起】

华为云双12会员节和云安全分会场均已上线，数据库安全服务年付低至5.8折起，官网促销为8.3折，双12活动在官网促销价上再打7折，实际到手价格为83%*70=5.8折。活动期间购买还能参加抽奖和会员权益赠送等活动，价格实惠，赠品丰厚。点我查看

华为云数据库安全服务：https://www.huaweicloud.com/product/dbss.html

华为云双12云安全专场：https://activity.huaweicloud.com/2018dec-promotion/index.html

华为云双12活动会场：https://activity.huaweicloud.com/2018dec-security-promotion/index.html