账户安全帮助您识别与账户关联的业务接口(例如,注册、登录等)上发生的账户安全风险事件,包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。本文介绍了如何配置账户安全检测规则和查看检测结果。

前提条件

  • 已开通Web应用防火墙实例,且实例满足以下要求:
    • 包年包月实例:实例版本是高级版及以上规格。
    • 按量计费实例:已在账单与套餐中心开启Bot管理模块下账户安全功能。更多信息,请参见账单与套餐中心(按量2.0版本)
  • 已完成网站接入。具体操作,请参见使用教程

背景信息

开启账户安全检测前,您必须了解业务中与账户安全有关的接口信息,以便完成后续配置,例如,域名、提交账号信息的URL、具体的账号或密码字段的参数名称。Web应用防火墙实例最多支持为三个接口开启账户安全检测。

新增防护接口

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,选择场景防护 > 账户安全
  4. 账户安全页面,单击创建接口
    如果您是第一次进入账户安全页面,请跳过该步骤。
    说明 每个WAF实例最多可以添加三个检测接口。如果您已添加过三个接口,则创建接口按钮不可操作。
  5. 完成检测接口配置,并单击保存创建接口
    参数说明
    检测接口选择要检测的域名并填写账号信息提交接口的URI。

    检测接口不是登录接口所在页面的地址(例如,/login.html),而是最终提交登录用户名和密码信息的接口地址。

    说明 如果您已开通资产识别,WAF会帮助您自动补全已接入域名的全部接口,您可以在这里直接选择要检测的接口。更多信息,请参见资产识别
    请求方式选择接口的请求方式。可选值:POSTGETPUTDELETE
    账号参数名设置账号字段对应的参数名称。
    密码参数名设置密码字段对应的参数名称。如果检测接口无需提交密码,则无需设置该参数。
    防护动作选择对检测发现的账户风险请求的处置动作。可选值:
    • 预警
    • 拦截
    账户安全接口配置示例:
    • 场景1:如果用户登录接口是/login.do,提交的POST请求body中内容样例为username=Jammy&pwd=123456,则账号参数名username密码参数名pwd
    • 场景2:如果登录账号参数位于GET请求的URL中(例如,/login.do?username=Jammy&pwd=123456),则只需将请求方式设置为GET,其余设置与场景1一致。
    • 场景3:如果业务接口不需要密码参数(例如,注册账号接口),则只需填写账号参数名,无需填写密码参数名
    • 场景4:如果业务接口要求传入手机号作为用户凭证,则手机号可以视作账号参数。例如,/sendsms.do?mobile=1381111****,则检测接口填写/sendsms.do账号参数名填写mobile,无需填写密码参数名
    成功添加检测接口后,WAF后台会下发检测任务。如果被检测接口的流量命中检测逻辑,一般几个小时后就开始产出账户安全风险事件。
    说明 账户安全开启后,所有网站请求默认都会经过账户安全规则的检测。您可以通过设置数据安全白名单,让满足条件的请求忽略账户安全规则的检测。更多信息,请参见设置数据安全白名单

查看账户安全报表

您可以在账户安全页面单击目标接口操作列下的查看报表,直接访问接口的账户安全报表,或者前往WAF安全报表页面查看账户安全报表。

以下内容介绍了通过安全报表页面查看账户安全报表的操作方法。

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,选择安全运营 > 安全报表
  4. Web安全页签下,单击账户安全,选择要查看的域名、接口、数据范围(昨天今天7天30天),查看对应的账户安全风险事件。账户安全

    账户安全报表的字段描述见下表。

    字段说明
    接口检测到账户安全事件的接口URI。
    所属域名接口所属域名。
    异常时间段检测到账户安全事件的时间段。
    已拦截量异常时间段内,接口上发生的所有被当前WAF防护策略拦截的请求的数量。

    这里的策略指全部已经生效的防护策略,例如Web攻击防护规则、精准访问控制、CC攻击防护、区域封禁等。这个数字占总请求量的比值在一定程度上反映了当前接口的账户风险防控效果。

    总请求量异常时间段内,接口上发生的总请求数量。
    告警原因产生告警的依据,目前包括以下几个维度:
    • 命中撞库或暴力破解的行为模型。
    • 该接口在对应时段内的流量基线异常。
    • 该接口在对应时段内命中威胁情报库的量较大。
    • 该接口在对应时间内命中了较多弱口令,有暴力破解或撞库的风险。

更多信息

WAF账户安全检测只提供账户安全风险的检测能力。由于账户安全涉及到的业务和技术场景复杂,所以在防护上需要依据不同的情况采取对应的方案。更多信息,请参见账户安全最佳实践