什么是拖库和撞库?

1、撞库

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

2、拖库

拖库本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库文件，拖库的主要防护手段是数据库加密。

保护个人密码的“宝典”：

（一）根据账号重要程度设置密码

根据账号重要程度和网站知名程度，应该分别设置通用密码和重要密码。

（二）设置通用密码但不相同

为防止通用密码被“撞库”攻击，又避免过多的密码容易遗忘，建议在设置密码时采用“通用密码”+“网站标志”的习惯方式进行。

（三）养成手动进入网站的习惯

在收到短信、邮箱等信息提示，要求登录某网上银行等重要系统账号，并附带登录链接地址时，应该避免直接点击信息中的链接进行登录，建议通过自行输入官方网站链接地址进行登录。

通过这些措施，可以提高网络用户的安全观念，保护个人的机密信息，提高网上交易系统的安全指数。

以上内容参考百度百科-撞库

以上内容参考百度百科-拖库

今天，学习通数据库疑发生信息泄露，这个事件冲上微博热搜第一：

据安全行业业界内消息，国内众多高校都在推荐学生使用的主流学习软件“超星学习通”被曝数据库信息泄露，其中包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱、密码等个人隐私，泄露数据高达 1 亿 7273 万条，且在境外平台被公开售卖。按照学习通官方的说法，目前已经就这个事件报案，已经由公安机关立案调查。

学习通的这次数据泄露的事件也给了我们三个非常重要的思考：

首先，学习通是谁？它到底是谁？为什么会被大学强制的推广给学生使用？这背后到底是什么样的力量与利益在驱动这样一款劣质APP在大学生这么敏感的群体中大规模的使用。按照IOS上的评分来看，满分为5分的评分，竟然之后1.4分，这是什么样的概念？并且投诉的大部分是关于安全与侵犯隐私的问题。

从评分中就看出，这是一款用“不合格”这样的词来评价都太高了的APP，而应被评价为垃圾中的战斗机，而问题是，这样的APP怎么会一直被纵容？滴滴一个打车软件就是因为上市审计底稿的问题，被直接禁止下载，被专门审查。而牵涉到大学生大数据的这样一款专门的APP，在出现了这么大的舆论风暴，却只是公安介入，这力度显然是不够的。

其次，学习通是否具有妥善保护用户信息安全的能力，在收集索取信息方面是否越界，是否有专业的大数据安全团队，这些都是一个很大的疑问。并且神奇的是，2021年1月，学习通两次被工信部点名通报其违规收集用户信息。同年7月，由于检查未完成整改，该APP再度被工信部通报。

这些“劣迹”，的情况下，为什么学习通依然能够有恃无恐的在没有整改到位的情况下，继续强行使用？而一向谨慎的大学，为什么会公开的强制性的要求学生使用这款反复被工信部通报的，有问题的APP。那么这个学习通和高校负责强制推行学习通的这些管理人员之间，是否存在着什么不可告人的秘密往来？

最后，为什么如此敏感的大数据信息会出现在海外的数据黑市叫卖的情况？这是一个非常匪夷所思的问题。可以肯定的是，类似学习通这样的平台掌握了大量学生个人信息。如果这些平台缺乏保护用户信息安全的能力，这种平台就应该在第一时间被下架。

而现在的问题是，这类的采集敏感信息的大数据平台，他们在进入市场时候的技术是否有审查？或者是什么标准审查？也就是说这些平台的大数据安全这个关键环节，有关部门是否有专门的审查？而这些敏感信息的泄露，牵涉到的是国家安全层面的问题。也就是说，学习通这次的事件非常恶劣，不应该是公安介入调查这么简单，而是需要国家安全部介入调查，到底背后是什么样的情况。

那么，在没有调查清楚之前，本着国家信息安全第一的原则，建议应该立即停止学习通，并由公安或者国家安全部门全面接管数据库。

无论如何，数据泄露总是破坏性的但更糟的是，要怎么向受影响的用户、投资人和证监会交代呢?一家公司上千万用户的个人数据，总不会自己长脚跑到黑市上躺着被卖吧?于是，在各种监管机构找上门来问一些很难堪的问题之前，北大青鸟http://www.kmbdqn.cn/带大家还是来看看这几个最常见的数据库安全漏洞吧。

数据库安全重要性上升只要存储了任何人士的任意个人数据，无论是用户还是公司员工，数据库安全都是重中之重。

然而，随着黑市对数据需求的上升，成功数据泄露利润的上涨，数据库安全解决方案也就变得比以往更为重要了。

尤其是考虑到2016年堪称创纪录的数据泄露年的情况下。

身份盗窃资源中心的数据显示，美国2016年的数据泄露事件比上一年增长了40%，高达1,093起。

商业领域是重灾区，紧随其后的是医疗保健行业。

政府和教育机构也是常见目标。

常见数据库漏洞1.部署问题这就是数据库安全版的博尔特一蹬出起跑器就被鞋带绊倒。

数据库经过广泛测试以确保能胜任应该做的所有工作，但有几家公司肯花时间保证数据库不干点儿什么不应该干的事儿呢?解决办法：这个问题的解决办法十分明显：部署前做更多的测试，找出可被攻击者利用的非预期 *** 作。

2.离线服务器数据泄露公司数据库可能会托管在不接入互联网的服务器上，但这并不意味着对基于互联网的威胁完全免疫。

无论有没有互联网连接，数据库都有可供黑客切入的网络接口。

解决办法：首先，将数据库服务器当成联网服务器一样看待，做好相应的安全防护。

其次，用SSL或TSL加密通信平台加密其上数据。

3.错误配置的数据库有太多太多的数据库都是被老旧未补的漏洞或默认账户配置参数出卖的。

个中原因可能是管理员手头工作太多忙不过来，或者因为业务关键系统实在承受不住停机检查数据库的损失。

无论原因为何，结果就是这么令人唏嘘。

解决办法：在整个公司中树立起数据库安全是首要任务的氛围，让数据库管理员有底气去花时间恰当配置和修复数据库。

4.SQL注入SQL注入不仅仅是最常见的数据库漏洞，还是开放网页应用安全计划(OWASP)应用安全威胁列表上的头号威胁。

该漏洞可使攻击者将SQL查询注入到数据库中，达成读取敏感数据、修改数据、执行管理 *** 作乃至向 *** 作系统发出指令等目的。

解决办法：开发过程中，对输入变量进行SQL注入测试。

开发完成后，用防火墙保护好面向Web的数据库。

---