阿里云Web应用防火墙-WAF

WAF可以对网站进行扫描,识别API漏洞。

API安全

如何设置API安全_Web应用防火墙-阿里云帮助中心

API安全如何划分API业务用途?

  • 登录认证

  • 手机验证码认证

  • 数据保存

  • 数据查询

  • 数据导出

  • 数据分享

  • 数据更新

  • 数据删除

  • 数据增加

  • 下线注销

  • 信息发送

  • 信息认证

  • 邮件信息发送

  • 邮箱验证码认证

  • 账号密码认证

  • 账号注册

API安全支持检测哪些敏感数据?

敏感数据级别

敏感数据类型

非敏感数据(N)

不涉及。

特级敏感数据(L0)

与一级敏感数据(L1)或二级敏感数据(L2)相同。

  • 单次响应中一级敏感数据(L1)较多时,升级为特级敏感数据(L0)。

  • 单次响应中二级敏感数据(L2)较多时,升级为一级敏感数据(L1)或特级敏感数据(L0)。

一级敏感数据(L1)

身份证、储蓄卡、手机号、护照号、港澳通行证、车牌号、军官证、身份证(中国香港)、身份证(马来西亚)、身份证(新加坡)、信用卡、SSN、JDBC连接串、PEM证书、KEY私钥、Linux-Passwd文件、Linux-Shadow文件。

二级敏感数据(L2)

姓名(简体中文)、地址(中国内地)、邮箱、电话号码(中国内地)、姓名(中文繁体)、姓名(英文)、电话号码-美国、宗教信仰、IP地址、MAC地址、IPv6地址、GPS位置、IMEI、营业执照号码、税务登记证号码、组织机构代码、统一社会信用代码、车辆识别代码。

三级敏感数据(L3)

性别、民族、省份(中国内地)、城市(中国内地)、未校验的身份证号、SwiftCode、日期、URL链接。

API安全支持检测哪些API风险类型?

风险类型

说明

疑似内部接口暴露

内部接口(例如用于内部办公、开发测试、运营管理的接口)暴露在公网。

缺乏访问限速机制

接口在应对高频访问时,缺少安全防护机制,可能导致暴力破解、恶意爬虫等。

敏感数据过度暴露

接口暴露过多的敏感数据,可能导致大规模数据泄漏。

缺乏异常处理机制

检测到程序报错信息,可能存在SQL注入、泄漏应用配置等风险。

缺乏访问控制机制

接口对不符合日常基线的访问(例如异常地区访问)缺乏控制机制。

敏感数据接口缺乏鉴权机制

接口缺少鉴权机制,可以被未授权的访问者访问,用于获取敏感数据。

API安全支持检测哪些异常事件类型?

事件类型

说明

来自异常地区的接口调用

例如,日常访问该接口的请求集中在北京地区,某天发现来自美国的请求调用了该接口。

来自异常源IP的接口调用

例如,日常访问该接口的IP集中在192.0.XX.XX,某天发现192.1.XX.XX调用了该接口。

来自异常终端的接口调用

例如,日常访问该接口的客户端主要是浏览器,某天发现有请求通过Python脚本调用了该接口。

来自异常时段的接口调用

例如,日常访问该接口的请求活跃时间集中在09:00~17:00,某天发现有请求在03:00调用了该接口。

针对登录接口的暴力破解

有攻击者暴力破解了账号密码。

针对登录接口的撞库攻击

有攻击者批量登录,试图撞库。

未授权访问获取敏感信息

有调用者在未授权的情况下,访问接口获取了敏感数据。

过多的敏感数据获取

某调用者通过该接口获取了大量的敏感数据。

异常的批量注册行为

该接口上发生了大量账号注册行为,疑似垃圾注册。

异常的批量导出行为

该接口上发生了大量下载或导出文件的行为。

异常的高频访问行为

该接口被调用的频率远高于正常频率。

验证码暴力破解

该接口上发生了暴力破解验证码的行为。

短信接口资源滥用

短信发送接口被高频调用,导致短信资源被恶意消耗。

邮箱接口资源滥用

邮件发送接口被高频调用,可能遭受了邮件炸弹攻击。

遍历爬取接口数据

该接口上发生了遍历某个参数,高频爬取接口数据的行为。

不符合规范的接口调用

调用请求中的某个参数不符合接口参数规范,例如,正常情况下参数A是整数格式,但发现调用请求中的参数A使用了字符串格式。

监控与告警

常用监控指标

监控指标 释义 建议阈值 处理建议
200 服务器已成功处理请求,返回了请求的数据。 初始化正常业务时,200状态码的告警监控阈值可以配置为90%,具体根据实际业务情况调整。 如果发现低于监控比例,需要分析比例下降的原因,例如是否因为其他错误状态码比例增加。
request_time_msec 客户端请求到返回结果的请求耗时。 按实际业务请求所需耗时,设置合适的超时告警监控阈值。 如果发现域名请求耗时较长,需要检查客户端-WAF-源站整体网路链路质量,并排查源站响应状态是否正常。
upstream_response_time 请求回源时,源站返回数据的响应时间。
ssl_handshake_time HTTPS协议请求时,客户端与WAF的SSL握手时间。
status:302 and block_action:tmd/status:200 and block_action:tmd 人机校验JS请求状态码,302表示触发默认策略,200表示触发自定义cc防护策略。 初始化时,建议配置5%~10%的告警阈值比例,后续运营期间可以根据业务拦截情况灵活调整。
  • 如果达到告警阈值,建议分析是否受到cc攻击,根据攻击情况设置自定义规则。
  • 检查服务器是否出现异常,如大量的5xx状态码、4xx状态码。
status:200 and block_action:antifraud 被数据风控规则拦截。 测试可用后再上线,如弹出率过高,说明场景可能有问题,建议联系阿里云研发团队进行确认。
status:404 服务器找不到请求的资源。 查询触发告警的IP。

  • 如果是个例,则可能存在恶意用户遍历服务器资源。
  • 如果是普遍存在,则需要确认服务器是否正常或者是否有文件丢失。
status:405 被Web应用防护规则或精准访问控制规则拦截。 通过全量日志分析拦截的规则、请求行为,判断是正常拦截还是误拦截。
status:444 被WAF CC自定义规则拦截。
  • 如果达到告警阈值,建议分析是否受到CC攻击,根据攻击情况设置自定义规则。
  • 如果不是攻击,而是API调用,则需要判断是否需要调整阈值或者单独放行固定服务器的调用。
status:499 客户端发起请求,服务端未返回数据,超过客户端设置的等待时间后,客户端主动断链,服务端返回给客户端该状态码。
  • 检查源站是否异常,如响应缓慢,数据库存在大量慢查询。
  • 存在攻击将源站资源占满。
status:500 (Internal Server Error)服务器内部错误,无法完成请求。 建议检查源站处理资源负载、数据库等情况。
status:502 (Bad Gateway)错误网关, 服务器作为网关或代理,从上游服务器收到无效响应。一般由于回源网络质量变差、回源链路有访问控制拦截回源请求导致源站无响应。
  • 建议检查回源网络链路、回源链路中间的访问控制策略、源站处理资源负载、数据库等情况。
  • 检查源站是否拦截了WAF回源IP的请求。
status:503 (Service Unavailable)服务不可用,由于超载或停机维护,服务器目前无法使用。 建议检查源站是否异常。
status:504 (Gateway Timeout)网关超时,服务器作为网关或代理,但是没有及时从上游服务器收到请求。 根据以下可能的原因进行排查:

  • 服务器无法响应,负载过高。
  • 源站丢弃请求没有reset。
  • 协议通讯不成功。

原文链接:https://blog.csdn.net/seanyang_/article/details/130315163?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169114730916800197038198%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=169114730916800197038198&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-27-130315163-null-null.268%5Ev1%5Ekoosearch&utm_term=cc%E9%98%B2%E6%8A%A4

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22448

(0)
上一篇 2023年8月7日
下一篇 2023年8月7日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml