功能介绍
支持配置撞库防护策略,防范攻击者通过撞库盗取用户的信息。
撞库是什么?
撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址,这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发,通过碰撞用户名得到账号密码信息。
撞库的防护原理
边缘云WAF针对撞库的防护方式主要是以下三种:
- 频率限速:由于猜解需要不断访问登录接口,因此可以通过异常速率来限制撞库;
- 用户登录信息与泄露信息库比对:将用户信息与实时更新的泄露信息库做相关数据对比,查看用户是否正在使用已暴露的密码,根据结果采取对应措施;
- 用户敏感信息脆弱性分析:通过脆弱性算法分析当前密码的暴露风险层级与易猜解程度,对暴露较多区块的密码以及极易猜解的密码引导到客户配置的处理方式上。
前提条件
- 已开通Web应用防火墙(边缘云版)。
- 已新增域名并成功接入WAF,具体操作请见WAF接入。
- 开通套餐为基础版及以上版本,支持撞库防护相关功能。
操作步骤
- 登录Web应用防火墙(边缘云版)控制台,在左侧导航栏中选择【域名管理】—【域名列表】,单击域名列表操作【安全防护】进入高级防护页面;
- 进入【账号安全防护】页面;
- 进入新增撞库防护规则页面。
撞库防护配置说明
| 配置项 | 说明 |
|---|---|
| 开关 | 可以选择开启或者关闭撞库防护策略 |
| 处理动作 | 设置触发撞库策略的处理动作,可以选择拦截或告警 |
| 登录页URL | 设置登录页面的URL |
| 登录页数据请求URL | 先单击键盘F12或者抓包,点击登录按钮,获取登录数据请求的URL地址(所获地址与登录页面URL可能是同一个,但是一般情况下动静态页面是分离的,所以大概率是不同的页面) |
| 登录post包 | (1)用户Key:一般是username,具体看您的网站是怎么定义key 加解密方式:不加密/base64/md5值的加密方式,用以解密 (2)密码Key: 一般是password,具体看您的网站是怎么定义key 加解密方式:不加密/base64/md5值的加密方式,用来解密 |
| 触发条件 | 在【统计周期】内的【作用域】的请求数,请求次数超过【拦截阈值】次数,则执行【处理动作】。其中,作用域支持CI、IP+UA、IP (1)CI:客户端ID,订购扩展服务BOT管理后支持该作用域 (2)IP+UA:客户端IP与客户端UA (3)IP:客户端IP |
| 密码有泄露风险 | 判断密码存在泄露的处理方式,日志告警/重置密码/正常访问 |
| 请求内容类型 | 支持选择”application/x-www-form-urlencoded"或"application/json";指正常post包的请求方式 |
| 白名单 | 针对误拦设置白名单,可选粒度:URI、支持配置多条,多个粒度为“且”的逻辑,多个范围为“或”的关系 |
