《2019年上半年Web應用安全報告》發佈：90%以上攻擊流量來源於掃描器，IP身份再也不可信

Web應用安全依然是互聯網安全的最大威脅來源之一，除了傳統的網頁和APP，API和各類小程序也做爲新的流量入口快速崛起，更多的流量入口和更易用的調用方式在提升web應用開發效率的同時也帶來了更多和更復雜的安全問題。一方面，傳統的SQL注入、XSS、CC攻擊等傳統攻擊手段和各類新爆出的web漏洞無時無刻不在考驗着web應用安全方案的健壯性、靈活性和安全團隊的快速反應能力，另外一方面隨着大數據技術和流量產業的成熟，互聯網中來自自動化程序的流量佔比也在迅速增加，爬蟲也隨之成爲一個不容忽視的存在，伴隨而來的數據泄露、流量做弊等問題也爲各種業務帶來了很是頭痛的費用浪費、業務不可用以及各種業務安全類問題。

做爲防護Web應用安全的基礎設施，Web應用防火牆（WAF）依舊扮演着極其重要的角色，而其中雲WAF又具有漏洞響應快、功能迭代迅速、支持彈性擴容、快速容災等優點。本報告根據阿里雲WAF和防爬團隊對2019年上半年雲上流量的分析狀況，爲您帶來最新的攻擊趨勢、漏洞應急狀況以及一線安全專家的核心觀點和防禦建議。

報告發現：

1. 90%以上攻擊流量來源於掃描器

掃描器每每是攻擊者的開路利器，在大規模批量掃描中被嗅探到大量漏洞的web站點更容易成爲攻擊者下手的對象。經過特徵、行爲等維度識別並攔截掃描器請求，能夠有效下降網站被攻擊者盯上的機率，同時有效緩解批量掃描行爲帶來的負載壓力。

從目前的數據來看，攔截的攻擊中，掃描器產生的請求數量在90%以上，除去掃描器自動化產生的攻擊，剩下的10%手工測試行爲，0day，廣度低頻等攻擊則是須要花上90%精力來解決，如圖3-1所示。

2. 利用編碼繞過防禦的行爲愈發廣泛

隨着WAF對網站的防禦愈來愈普及，針對基礎web攻防來講，利用諸如MySQL、JavaScript語言特性進行各類編碼、變形，從而繞過WAF防禦的攻擊payload也愈來愈多，攻防是一個持續對抗升級的過程。根據雲上數據顯示，當前已有近1/3的攻擊數據採用了不一樣程度或類型的編碼、變形手段，以期繞過雲盾WAF的防禦，其中甚至不乏使用多維度的複合變形、編碼手段實施攻擊。

雲盾WAF新一代引擎架構，支持多種常見HTTP協議數據提交格式全解析：HTTP任意頭、Form表單、Multipart、JSON、XML；支持常見編碼類型的解碼：URL編碼、JavaScript Unicode編碼、HEX編碼、Html實體編碼、Java序列化編碼、base64編碼、UTF-7編碼；支持預處理機制：空格壓縮、註釋刪減，向上層多種檢測引擎提供更爲精細、準確的數據源。

該架構主要特徵包括：在準確性上，優化引擎解析HTTP協議能力，支持複雜格式數據環境下的檢測能力；抽象複雜格式數據中用戶可控部分，下降上層檢測邏輯的複雜度，避免過多檢測數據致使的誤報，下降多倍的誤報率；在全面性上，支持多種形式數據編碼的自適應解碼，避免利用各類編碼形式的繞過。

3. IP身份再也不可信

IP地址是傳統防禦中一個很是重要的手段，不少經典的防禦手段，如限速、名單、異常行爲識別、威脅情報等都是基於IP地址實現的。但隨着如今黑灰產對大規模代理IP池，特別是秒撥IP的普遍使用，IP地址已經變得再也不可信。同一個IP地址，在10分鐘前還被合法用戶小白用於瀏覽A網站，在10分鐘後已經被黑產人員小黑用做撞庫攻擊的代理IP，一個IP背後的身份開始變得極其複雜，黑與白交接的灰色地帶比例在迅速擴大，這對於不少傳統安全方案（不管是黑名單機制仍是白名單機制）都帶來了顛覆性的威脅，帶來的相應誤報和漏報也在迅速增加。

相應的，防禦一方也應該作出改變。咱們建議在作安全防禦方案時，一方面將IP的身份或信譽輔助以其餘維度的情報信息或者二次校驗手段綜合判斷；另外一方面下降對於IP的依賴，從更多維度去標識一個「客戶端」或者「用戶」，如設備指紋、業務中打點的token、cookie等等。

獲取完整版報告請點擊連接：https://files.alicdn.com/tpsservice/3ae3996f0011b95f27a4d07f9804cf87.pdf?.pdf

---

本文做者：雲安全專家

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。