크리덴셜 스터핑 공격이란 무엇인가요? 크리덴셜 스터핑 공격을 방지하는 방법

크리덴셜 스터핑은 해커가 인터넷에 유출된 사용자 정보와 비밀번호 정보를 수집해 해당 사전 테이블을 생성하고, 로그인 가능한 사용자를 연속적으로 확보하기 위해 다른 웹사이트에 일괄적으로 로그인을 시도하는 행위다. . 많은 사용자가 서로 다른 웹사이트에서 동일한 계정과 비밀번호를 사용하므로 해커는 웹사이트 A에서 사용자 계정을 획득하여 웹사이트 B에 로그인을 시도할 수 있습니다. 이는 크리덴셜 스터핑 공격으로 이해될 수 있습니다.

크리덴셜 스터핑은 데이터베이스 보안 보호 기술을 통해 해결할 수 있습니다. 데이터베이스 보안 기술에는 주로 데이터베이스 누출 검사, 데이터베이스 암호화, 데이터베이스 방화벽, 데이터 둔감화 및 데이터베이스 보안 감사 시스템이 포함됩니다.

확장 정보:

유명한 사례:

JD.com의 이전 데이터베이스 스터핑을 예로 들면, 우선 JD.com의 데이터베이스는 유출되지 않았습니다. 해커는 "크리덴셜 스터핑"을 통해 일부 JD 사용자의 데이터(사용자 이름 및 비밀번호)를 획득하는 일이 "우연히 발생했습니다".

이 방법은 거의 모든 웹사이트 로그인 시스템을 처리하는 데 사용할 수 있습니다. 다른 웹사이트에 로그인할 때 동일한 사용자 이름과 비밀번호를 사용하는 것은 일단 분실하면 자신에게 "마스터 키"를 제공하는 것과 같습니다. 상상해 보세요. 따라서 크리덴셜 스터핑을 방지하는 것은 사용자들이 함께 참여해야 하는 장기간의 전투입니다.

2014년 12월 25일, 12306개의 웹사이트 사용자 정보가 인터넷에 입소문을 냈습니다. 이와 관련해 12306 공식 홈페이지에서는 온라인상에 유출된 이용자 정보가 다른 사이트나 경로를 통해 유출됐다고 밝혔다. 이번에 유출된 사용자 데이터는 13만1653건에 달하는 것으로 알려졌다. 이 데이터 배치는 기본적으로 해커가 "크리덴셜 스터핑 공격"을 통해 획득한 것으로 확인됩니다. ?

얼마 전 저장성 항저우시 위항구 인민검찰원에서 탄모무(Tan Moumou)가 컴퓨터 정보 데이터를 불법 취득한 혐의로 조사를 했고, 예모무(Ye Moumou)와 장모무(Zhang Moumou)가 제공한 내용이 2018년 6월 5일 보도됐다. 컴퓨터 정보시스템 침해 혐의로 기소된 사건이다.

2018년 5월 21일 위항구 인민법원은 이 사건에 대해 판결을 내렸다. 피고인 탄 무무(Tan Moumou)는 컴퓨터 정보 시스템 불법 취득 혐의로 징역 3년에 집행유예 4년을 선고받았다. 피고인 Ye Moumou는 컴퓨터 정보 시스템 침입을 위한 프로그램 제공 혐의로 징역 3년, 집행유예 4년, 벌금 40,000위안을 선고받았습니다.

피고인 Zhang Moumou는 컴퓨터 정보 시스템에 침입하기 위한 프로그램을 제공한 혐의로 징역 3년, 집행유예 3년, 벌금 3만 위안을 선고 받았습니다. 크리덴셜 스터핑 및 코딩에 대한 전국적인 사례는 이번이 처음인 것으로 알려졌다. 재판부는 검찰의 기소 의견을 전면적으로 받아들였다.

바이두 백과사전-크리덴셜 스터핑 공격