文章插图
如今,电子政务、电子商务、网上银行、网上营业厅等依托Web应用,为广大用户提供灵活多样的服务 。在这之中,流量攻击堪称是Web应用的最大敌人,黑客通过流量攻击获取利益、竞争对手雇佣黑客发起恶意攻击、不法分子通过流量攻击瘫痪目标后勒索高额保护费,往往会对业务造成严重损害 。
对于开发者和企业网站管理人员来说,数据爬取、暴力破解和撞库等Web攻击手段日益复杂,均需要建立强大且实时的防御能力,避免业务乃至企业因防护脆弱“失血过多”而死 。部署WAF成为公认的最基础且有效的防御手段,但由于攻击手段的多样化和企业业务的复杂性,传统的本地部署WAF已经越来越难以发挥预想的防御效果 。
云WAF恰恰能够解决本地部署WAF的缺陷,成为大量中小型企业以及个人网站的新选择 。云WAF部署简单、维护成本低,无需安装任何软件或者部署任何硬件设备即可将网站部署到云WAF的防护范围之内 。云WAF的防护规则都处于云端,新漏洞爆发时,由云端负责规则的更新和维护,用户无需担心因为疏忽导致受到新型的漏洞攻击 。
在日常的部署中,网站负责人员如何选择与自身业务属性和发展规划匹配的云WAF产品?如何确保其能够为现阶段业务提供高可用的产品与服务?又如何为未来业务发展中安全防护的持续性和可扩展性做好冗余?
【Web 攻击越发复杂,如何保证云上业务高可用性的同时系统不被入侵?| 专家谈】我们邀请到腾讯云应用安全专家刘吉赟,与大家分享在云WAF产品选择、部署和使用过程中的实战经验 。
刘吉赟,腾讯安全 WAF研发负责人 。近十年安全研发经验和应用安全攻防实战经验,主导了多个网络安全防御产品的研发,构建了腾讯新一代云WAF防御体系 。
以下为采访实录:
Q:如今Web应用安全依然是互联网安全的最大威胁来源之一,Web应用安全目前的新局面是什么,企业需要面对怎样的新挑战?
刘吉赟:目前的Web应用逐步API化,除了传统的Web攻击,API的安全问题、网络中的机器人流量的问题也日趋严重,Web应用安全从传统的SQL、XSS防护等,逐步开始向API安全,Bot机器人行为防护等防护技术过渡 。
在Web攻防实战中最受关注的有四种攻击方式:一是植入webshell,控制管理后台然后拖库;二是Web内容被恶意替换成违法违规的图片和文字;三是挂入黄赌网页、私服或跳转页面等倒量引流;四是竞品发动DDoS攻击致使业务瘫痪 。
攻击技术、漏洞披露等日趋成熟,特别是针对Web安全相关漏洞的利用日趋产业化,企业需要更加重视如何在安全运营中进行快速响应,构建与之适应的安全运营体系 。企业首先应该做好自查,全面完整的自我了解是企业实现Web应用安全防护的基础 。同时,更应该尝试和接纳新兴技术,以显著提高对新型威胁和未知威胁的检测、防御效果 。
Q:电商行业是网络攻击的高发行业,针对电商的常见攻击手段有哪些?
刘吉赟:一种是典型CC攻击,这是一种针对网页的攻击,原理是模拟多个用户正常访问目标网站,例如制造大量后台数据库的查询动作占用正常请求资源 。“鸡贼”之处在于,这种“访问”本身属于正常请求,但当这种“正常请求”达到一定程度的时候,服务器就会反应不过来直到宕机,也就是App会出现反应慢、账号登录不成功、无法下单、白屏等现象 。这也是为什么每次购物节当大家忙着剁手的时候,各大电商的机房灯火通明,程序员软件硬件都用上外加紧张观察,就是怕服务器崩掉了带来惨重损失 。
CC攻击往往只是敌人的先行兵,更可怕的是后续可能会出现的慢BOT攻击 。这种战术更有耐心且隐蔽,敌人会仔细侦查对外开放的每一个接口,对开销较大的接口,以较慢的速度长时间“挂”在你家的网上,消耗大量资源 。黑产可能会肆无忌惮地使用注册软件和随时号码反复调用接口,同时发动羊毛党把调用次数进行几何级放大,像一群虎视眈眈又极有耐心的秃鹫,终有一天你会扛不住,那就是黑产啄食的时机 。这样对网站的损伤也非常大 。
在某电商平台促销季的一场攻防战中,黑产通过四条“小路”发起猛攻,首先是狂刷用户行为采集的接口,频率高达300-400次每秒,这个接口主要是记录用户访问APP的行为,再写入数据库;二是瞄准APP版本检查接口,也就是模仿一个过分焦虑的强迫症者,一遍遍刷新查询版本有没有更新,每天超过几百万次,导致
推荐阅读
- web服务器 IIS、Apache和Ngnix基础
- Python 四大主流 Web 编程框架
- Google Webmaster的站内链接工具方便SEO人员的网站分析
- 有趣的arp攻击
- 国家开发银行小额贷款助力石阡茶业跨越发展
- 什么是 XSS 攻击
- JSON WEB TOKEN JWT为啥这么流行
- XSS网络攻击
- web API接口及restful规范详解
- 黑客攻击解密 分析选定的网络进行……