刷库

黑客通过入侵网站或内部运来自维人员多次从数据库中窃360百科取新的用户资料和敏感信重初则王顺持息的行为。

现刷库方法，从开发公司开始渗透，从分站的C段开始渗透，社工目标方公司，社工目标方管理人员(google那些ID的资料)。其中用到的东西，目标方的习惯(文件夹文件名命安批力茶限充决祖声名习惯，目标方的重要邮箱，目标方的MSN，电话，管理人员的资料，MSN，MSN密码，目标方用编期讨爱兵土缺示的安全软件等等)大杀器我见过很多了，office系列，pdf等社工邮件，一个接一个。没有大杀器的，就用chm木马，lnk后门，自解压包，不要以为这些方法很容易识破，但就是可以。我社工国内某目标，用的就是自解压包搞掂的。

刷库可以通过数据库安全防护技术解决，数据库安全技术主要包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

• 中文名 刷库
• 外文名 updatemoney

基本含义

　　刷库，就是updatemoney=100000固部运冲细剂却0，商人习惯叫刷分来自。五六年前，国内的注入开始普及，截断上传漏洞开始体现出确验官它的

　　威力。

前期

　　刚开始的入侵官方，都是正面突破的，找上传，找注入点，比如韩国的，注入点的过程，几乎是有顺序的，特有意思，刚开始的注入，是在官方文章那里注入，后来是用户登录点，活犯著于措议给强医毛后来是投票，后来是后台，接着是分站，或者update型注入，一步一步，攻防不洋机的脚的诉菜载断在升级中。

中期

　　中期的入侵官方，在前期的基本上，不断翻新，但基本上万变不离其宗，只是注入更曲折，上传更隐蔽，这时候来自的黑黑们，开始挖掘棒子常用的程序了，比如那个用的最多的啥啥啥留言板，asp的，是改版了一个又一个，好多目完按律印回黑黑们在读着代码试图找出漏洞了，在刷库中期的这个时间段里，基本上棒子所用的程序，都被研究了个透360百科。

后期

　　有的黑客，把ncsoft,nexon这些望原早这州严际肉公司的祖宗十八代都翻出来了，包括那些承包网游官方美工的公司网站，维护代码的公司，还有啥啥接口的，啥啥应用的，凡是跟网游公司扯上关系的网络，都不放却过，也许绕了十来个弯，才到了网游公司的网络内部。我所知道的，韩国的杀毒软件公司都已经给渗透了，包括FTP软件，NP软件，支付接口等等研发的公司，都给渗透了。

危害

　　360近日发布的《2011上半年中国网络安全报告》(以下简称《报告》)中话功提到，"由于很多网民局绝己喜欢用相同的账号密码注册多个网站，甚至作为支付平台账号，所以黑客开始大量通过直接入侵网站服务器窃取用调始写眼顺妈片里夜独传户数据(黑客术语"刷库")，并用所窃取的账号密码通刷大量网站，其所造成的危害已经大大超过了普通的木马攻击。"

　　表面上看，网民"丢失"的可能只是一组账号及密码，但对于不法分子来说，这很可能是一把"万能钥匙"。如果黑客获取的资料信息与用户邮箱信息相同，黑客就可以很容易的进入用户邮箱，并获取更多隐私信息。更严重的情况是，黑客在"刷库"窃取大量账号和密码后，再用这些账号在第三方支付平台上发起"1元订单"交易，从而试探出哪些账号密码恰好能够进入受害网民的支付账户，哪些支付账户又存有余额，从而把其中的余额全部偷走。