Web应用防火墙(WAF)支持账户安全检测,在Web攻击防护基础上帮助您识别与账户关联的业务接口(例如注册、登录等)上发生的账户安全风险事件,具体包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。使用账户安全检测时,您只需在WAF中配置防护接口,即可在WAF安全报表中查看相关检测结果。

背景信息

  • 开启账户安全检测前,您必须了解业务中与账户安全有关的接口信息,以便完成后续配置,例如域名、提交账号信息的URL、具体的账号/密码字段的参数名称。
  • 业务已接入WAF进行防护。更多信息,请参见网站配置

使用限制

每个WAF实例最多支持为三个接口开启账户安全检测。

新增防护接口

  1. 登录云盾Web应用防火墙控制台
  2. 在页面上方选择WAF实例所在地区(中国大陆海外地区)。
  3. 在左侧导航栏,单击管理 > 账户安全
  4. 账户安全页面,单击新增接口
    说明 每个WAF实例最多可以添加三个检测接口。若接口数量达到限制,则新增接口按钮不可操作。
    新增接口
  5. 新增接口对话框中,完成接口配置,并单击保存。接口配置的描述见下表。
    配置项 说明
    检测接口 选择要检测的域名并填写账号信息提交接口的URI。
    说明
    • 检测接口不是登录接口所在页面的地址(例如/login.html),而是最终提交登录用户名和密码信息的接口地址。
    • 如果您已开通资产管理,则WAF帮助您自动补全已接入域名的全部接口,您可以在这里直接选择要检测的接口。更多信息,请参见资产管理
    账号参数名 填写账号字段对应的参数名称。
    密码参数名 填写密码字段对应的参数名称。若检测接口无需提交密码,则该配置留空。
    配置示例
    • 假设用户登录接口是/login.do,提交的POST请求body中内容样例为username=Jammy&pwd=123456,则账户参数名username密码参数名pwd,可以按下图所示进行配置。新增接口配置
    • 如果登录账号参数位于GET请求的URL中,例如/login.do?username=Jammy&pwd=123456,则配置方法与上图一样。
    • 如果业务接口不需要密码参数,例如注册账号接口,则只需要填写账号参数名密码参数名留空。
    • 如果业务接口要求传入手机号作为用户凭证,则手机号可以视作账号参数。例如/sendsms.do?mobile=13811111111,则检测接口填写/sendsms.do账号参数名填写mobile密码参数名留空。
    成功添加检测接口。配置好检测接口后,WAF后台会下发检测任务。若被检测接口的流量命中检测逻辑,一般几个小时后就开始产出账户安全风险事件。

查看账户安全报表

您可以在账户安全页面单击目标接口操作列下的查看报表,直接访问接口的账户安全报表,或者前往WAF安全报表页面查看账户安全报表。

安全报表

以下内容介绍了通过安全报表页面查看账户安全报表的操作方法。

  1. 登录云盾Web应用防火墙控制台
  2. 在页面上方选择WAF实例所在地区(中国大陆海外地区)。
  3. 在左侧导航栏,单击统计 > 安全报表
  4. 账户安全页签下,选择要查看的域名、接口、数据范围(昨日数据今日数据7日数据30日数据),查看对应的账户安全风险事件。账户安全报表

    账户安全报表的字段描述见下表。

    字段 说明
    接口 检测到账户安全事件的接口URI。
    所属域名 接口隶属的域名。
    异常时间段 检测到账户安全事件的时间段。
    已拦截量 异常时间段内,接口上发生的所有被当前WAF防护策略拦截的请求的数量。

    这里的策略指全部已经生效的防护策略,例如Web攻击防护规则、精准访问控制、CC攻击防护、区域封禁等。这个数字占总请求量的比值在一定程度上反映了当前接口的账户风险防控效果。

    总请求量 异常时间段内,接口上发生的总请求数量。
    告警原因 产生告警的依据,目前包括以下几个维度:
    • 命中撞库或暴力破解的行为模型。
    • 该接口在对应时段内的流量基线异常。
    • 该接口在对应时段内命中威胁情报库的量较大。
    • 该接口在对应时间内命中了较多弱口令,有暴力破解或撞库的风险。

更多信息

WAF账户安全检测只提供账户安全风险的检测能力。由于账户安全涉及到的业务和技术场景复杂,所以在防护上需要依据不同的情况采取对应的方案。更多信息,请参见账户安全最佳实践