2019 年 Web应用安全年度报告 阿里云安全团队 时间:2020.2 2 0 19 We b应 用 安 全 年 度 报 告 01 前言 2019年依然是网络安全事件频发的一年,不仅真实的攻击事件一再上演,规模性的红蓝对抗也愈发激 烈。而这其中Web应用安全相关的问题依然占据非常大的比重,从用户信息泄露到羊毛党的狂欢,无时 无刻不在考验着每一个行业每一个Web应用的安全水位。阿里云安全团队对2019年Web应用安全行业的 观察及实践进行梳理形成这份报告,希望给安全从业者和企业决策者带来一定的参考。 01 2 0 19 We b应 用 安 全 年 度 报 告 02 五问2019 1. 为什么我总抢不到茅台酒 我们经常在媒体上看到,人们反映茅台酒难抢。 茅台酒汹涌抢购现象的背后,“软件黄牛党”的威名已是人尽皆知。面对着功能越发完善、特征越发隐蔽 的机器流量,饶是你自认手速天下无敌,到头来在“抢购”这件事上还是要屡战屡败。实际上不止是茅台 抢购这一种场景,互联网环境下形形色色的业务,小到公众号文章刷量,中到机票占座、火车票抢票, 大到垃圾注册、恶意撞库、内容爬虫,机器流量都在黑灰产攻击链路上承担了举足轻重的位置。 2019年的机器流量产业正进一步向着技术垂直化、分工明确化、攻击精细化方向发展。结合过去一年全 网机器流量的分析与对抗,我们从技术角度和链路上下游角度总结了一下过去的2019年机器流量产业结 构与趋势: 有偿支持 逆向者 协议伪造 网络指纹特征库 (UAHeader包头等) IP资源提供者 初级代理 VPN 引用 黄网、页游、插件等 采集真人操作数据库 调用 获取 键|鼠|触|陀 操作伪造 账号库、身份证库、 邮箱库、猫池 调用 获取 其他业务逻 辑绕过模块 请求 混拨 逆向者 端指纹 逆向&破解 脚本 打码平台 (操作类+Ocr类) 自动化框架 打码 支撑 driver协议 验证码 识别&通过 操作 敏捷开发 高并发 操作 映射 低成本人工 海量IP出口 秒拨 定制化 浏览器 底层 API驱动 请求 执行环境层 驱动 浏览器 or 驱动 手机模拟器 or 驱动 真机设备 特征篡改插 件/hook代码 改机神器/自 动化刷机 业 务 os层行为消息驱动 行为复制&微小偏移 增加设备量 群控平台 真机木马 图 2-1-1 02 2 0 19 We b应 用 安 全 年 度 报 告 技术层面,黑灰产从不吝惜于将新兴技术用于攻击,机器流量向着精细化、垂 直化方向发展。 (一)、 秒拨/混拨技术爆发,IP维度对抗难度陡升 秒拨/混拨技术已经成为国内机器流量产业标配基础设施,全年Bot流量攻击事件中,94%以上的攻击事 件底层有代理/秒拨技术支撑,其中5成以上IP来自于秒拨。 “秒拨机”市场租赁价格由原先的上百元下降至40-50元,被用于Bot攻击的IP数量大幅提升,IP资源已经 不再是黑灰产攻击的成本瓶颈。混拨技术愈发成熟,同时利用4G入网原理进行秒拨的攻击手法开始出 现。 (二)、 通过driver协议控制真机设备/浏览器发起机器流量攻击逐渐成为主流 得益于浏览器厂商headless技术的发展与driver协议功能的日益成熟,使用driver驱动浏览器/模拟器发 送机器流量的门槛进一步降低。近5成攻击者会选择使用此种方式编写机器脚本攻击真实业务。 (三)、 定制化浏览器/ROM+系统底层行为事件消息模拟日益猖獗 定制化浏览器/ROM+系统底层行为事件消息模拟的攻击手法,开始被广泛使用于高获利、强对抗场景。 同时云真机群控的成熟使得一套群控设备集群可以同时支持多个业务,成本进一步降低。 (四)、 真人行为操作获取难度进一步降低,开始出现“操作镜像”的产业链路 目前市场上已经有低成本获取批量正常人行为操作的链路。攻击者会与拥有一定流量的网站主(其中黄色 网站、博彩网站、小众页游占据多数)合作,通过在网站主页面中部署静默采集代码的方式,将批量正常 人的操作记录/镜像下来,用于攻击其目标页面时重放发出。 03 2 0 19 We b应 用 安 全 年 度 报 告 海量IP资源 反混淆破解 定制化 浏览器/模拟器 反分控咨询 通用技术型 资源 专业型资源 打码平台/Ocr 识别平台 特征伪造 改机框架/ 反指纹插件 攻击定制 海量IP资源 有偿提供 分布式数据采集 技术采购 实人资源 行为操作资源 通用技术型 资源 数据型资源 打码平台/Ocr 识别平台 社工库 改机框架/ 反指纹插件 账号库 二三级 市场 账号 脱销渠道 业务黑灰 产链路 影响 脱销渠道 消耗 竞对资源 威胁/恐吓 数据 脱销渠道 数据 黑市 大中型技术团伙 按需 采购 SaaS PaaS 定制化 浏览器/模拟器 羊毛 脱销渠道 技术 打包 分布式 软件 作者 收费 软件 散户 散户 散户 散户 散户 线下 渠道 or 线上 社区/ 群 散户 回流补充 图 2-1-2 链路层面,机器流量产业内部上下游分工进一步明确,且拥有了更多的下游产 业需求。 (一)、 机器流量产业链路分工进一步精细化、模块化,机器流量构造门槛降低 产业内各个模块进一步解耦,通过SaaS、PaaS向下游链路直接提供技术支撑,一方面使得能力复用性 大幅得到提升,另一方面也加剧了黑灰产团伙之间的竞争。数据型资源(如证件库、实人信息库、真人 操作数据库)和专业技术性资源(如反混淆、反风控咨询)两类成为机器流量产业成本大头,其他硬件 资源型(如群控设备、猫池)和通用技术性资源(如验证码打码、改机服务)成本逐步降低。 (二)、 脱销变现链路变短,下游黑灰产市场对机器流量需求变大 机器流量产业中的黑灰产可以专注于技术建设与攻击变异,而下游市场需求的增大使其拥有更多渠道将 机器流量变现。就像IP资源成为机器流量产业基础设施一样,机器流量产业本身也已经成为其他黑灰产 上下游链路的基础组件。 04 2 0 19 We b应 用 安 全 年 度 报 告 (三)、 技术专业型黑产开始逐渐淘汰小白玩家,占据机器流量市场核心链路 随着机器流量对抗不断升级,小白玩家/工具小子需要支付更多的成本用于技术攻坚/咨询,逐渐被淘 汰,开始通过铺量的方式向那些没有anti-bot能力的业务大量发起攻击;拥有专业技能,尤其是有丰富 风控对抗经验的黑灰产开始在产业中占据核心位置。 2. 重要活动保障我该如何准备? 2019年的各种演练和重点活动保障,是对各个甲方机构综合防护能力以及各个安全公司攻防水平的有效 检验。在这个过程中,有攻击方0day攻城略地的摧枯拉朽和防御方关机拔网线的无赖,也有防御方铁板 一块一分不丢和攻击方的一声叹息无奈放弃。不管你是防御方还是攻击方,相信如果再来一次重要活动 保障,你一定可以吸取经验做得更好。这里根据我们的经验分享一下攻击视角和防御视角下Web服务这 一块在类似重要活动保障中如何进行防御。 Web应用针对攻击者的意义 预攻击阶段信息收集,资产识别: 安全演练或者重要活动保障过程中攻击者会做信息收集和资产识别,如果做不好,可能最后攻下来 的目标根本不是正确的目标(有真实案例发生)。Web应用作为门户或内部应用系统,从Web页面 内容、证书、DNS等维度都非常容易识别是归属于哪个企业/机构。 攻击阶段敲门砖和跳板: 当攻击者收集到足够的信息并识别资产指纹后会进入到攻击阶段,对Web应用做漏洞探测、漏洞利 用、上传webshell、翻找各种配置文件和数据库、提权获取系统权限等操作,可以获取更多信息为 后续横向移动做准备。 攻击过程中,如果防守过于严格,例如发现攻击行为封禁IP一段时间,此时攻击者甚至会在深夜防 守方困倦的时候故意骚扰,当防御方意识到这是故意骚扰慢慢松懈下来时,此时攻击方会将真正的 攻击行为隐藏在此类扫描行为中,做到在虚张声势中暗度陈仓。 当攻击者通过已公开漏洞或者手法无法攻陷目标Web应用系统之后,如果这是非常核心的系统,攻 击方也可能会针对该应用做代码审计或者漏洞挖掘,从而得到一些未公开的0day并加以利用。 05 2 0 19 We b应 用 安 全 年 度 报 告 防守方如何防御 针对攻击者的信息收集,可以做这些来减少信息泄露风险: 使用CDN/WAF等网络或者安全产品隐藏域名真实源站IP,并做好源站IP访问控制; 管理后台和门户内容站点分离,在相同域名下则需要通过ACL做好后台的访问控制; 对外提供的顶级域名尽可能独立,内部系统不要和外部应用使用相同的顶级域名,防止攻击者通过 DNS爆破等手段获取到内部系统的DNS记录信息; 内部系统不开放在公网,使用内网DNS提供域名解析服务,使用VPN等方式接入内网后登陆; 证书不要使用包含内部域名的多域名证书,防止证书带来的域名信息泄露,减少攻击面。 图 2-2-1 ①:上图只是展示多域名证书的例子,并未存在上述内网域名暴露风险 1 06 b4b4b5 2 0 19 We b应 用 安 全 年 度 报 告 针对攻击者的攻击阶段,可以做到这些: 针对攻击者的批量漏洞扫描和故意袭扰行为,采用自动封禁的方式做到攻击处置自动化,并结合情 报做到协同防御; 针对攻击者使用已知漏洞进行攻击的行为,配置严格的WAF规则和策略; 针对攻击者进行0day漏洞攻击,我们的解决办法是采用白名单基线的方式进行防护,即事先对重要 系统建立一套合法的流量基线,例如参数的类型(比如整型、字符串、字符集范围)、长度范围等 手段,一旦某字段有异常输入即可告警或者拦截,此方法已经被阿里云WAF成功在某重保活动发现 并防护某java框架的0day漏洞。 爬虫 羊毛党 逻辑漏洞 正 则 漏洞扫描器 自动化工具 防 扫 描 第 一 层 深 度 主 动 防 御 第 二 层 …… 账号安全 Web 安全 第 三 层 CC攻击 拒绝服务 WAF 图 2-2-2 07 业务安全 2 ②:关于各层WAF防护能力的具体的配置可以参考 https://yq.aliyun.com/articles/711173 站 点 2 0 19 We b应 用 安 全 年 度 报 告 3. 如何在降低误漏报的路上越走越远? 对WAF或者任何安全产品来讲,都离不开两个核心指标,漏报率和误报率。漏报低代表着防护效果好, 误报率低则是为了将对正常业务的影响降到最低。 那这里就有两个问题,最理想的漏报和误报状态是什么?为了达到或者接近这样的目标,我们需要做些 什么? 对于漏报最理想的状态,我们认为一定是针对每个用户的业务都能

pdf文档 阿里云 2019年Web应用安全年度报告

文档预览
中文文档 32 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共32页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
阿里云 2019年Web应用安全年度报告 第 1 页 阿里云 2019年Web应用安全年度报告 第 2 页 阿里云 2019年Web应用安全年度报告 第 3 页
下载文档到电脑,方便使用
本文档由 sbyking 于 2022-09-24 02:54:51上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。