撞库（Credential Stuffing）是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

撞库可采用大数据安全技术来防护，比如：用数据资产梳理发现敏感数据，使用数据库加密保护核心数据，使用数据库安全运维防运维人员撞库攻击等。

 

产生背景

随着技术的发展，互联网的普遍，用户数据泄露一直是当今互联网世界的一个焦点。

从最近的某网络电商撞库抹黑事件，到之前的某酒店用户数据的泄露，服务商和黑客之 间在用户数据这个舞台上一直在进行着旷日持久的攻防战。

对于大多数用户而言，撞库可能是一个很专业的名词，但是理解起来却比较简单， 撞库是黑客无聊的“恶作剧”，也是一种领先时代的攻击技术，黑客通过收集互联网已泄露的用户账号及密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登 陆的用户，而这种攻击，却是互联网安全维护人员最为无奈的攻击形式之一，信息泄漏、账户安全网络安全无疑成为大众最关心的问题。

撞库与社工库也是黑客与大数据方式进行结合的一种产物，黑客们将泄漏的用户数据整合分析，然后集中归档后形成的一种攻击方式。“撞库攻击”是网络交易普遍存在的一个主要风险。

操作程序

提及“撞库”，就不能不说“拖库”和“洗库”。

图1

在黑客术语里面，”拖库“是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为，因为谐音，也经常被称作“脱裤”，360的库带计划，奖励提交漏洞的白帽子，也是因此而得名。在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做”撞库“，因为很多用户喜欢使用统一的用户名密码，”撞库“也可以使黑客收获颇丰。

“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息，之后用技术手段前往一些网站逐个“试”着登录，最终“撞大运”地“试”出一些可以登录的用户名、密码。

右图1是黑客，在“脱库”“洗库”“撞库”三个环节所进行的活动。

著名案例

以之前的泄漏举例，首先数据库并没有泄漏。黑客只不过通过“撞库”的手法，“凑巧”获取到了一些用户的数据（用户名密码），而这样的手法，几乎可以对付任何网站登录系统，用户在不同网站登录时使用相同的用户名和密码，就相当于给自己配了一把“万能钥匙”，一旦丢失，后果可想而知。所以说，防止撞库，是一场需要用户一同参与的持久战。

2014年12月25日，12306网站用户信息在互联网上疯传。对此，12306官方网站称，网上泄露的用户信息系经其他网站或渠道流出。据悉，此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过“撞库攻击”所获得。

​2018年6月5日报道，浙江省杭州市余杭区人民检察院对谭某某非法获取计算机信息数据，叶某某、张某某提供侵入计算机信息系统数据案提起公诉。2018年5月21日，余杭区人民法院对此案作出判决，被告人谭某某因犯非法获取计算机信息系统数据罪，被判处有期徒刑三年，缓刑四年，并处罚金人民币四万元；被告人叶某某因犯提供入侵计算机信息系统程序罪，被判处有期徒刑三年，缓刑四年，并处罚金人民币四万元；被告人张某某因犯提供侵入计算机信息系统程序罪，被判处有期徒刑三年，缓刑三年，并处罚金人民币三万元。据悉，这是全国范围内针对撞库打码案件的首次判例。法院完全采纳检察院的起诉意见。 

​转自：撞库_百度百科