Web 应用防火墙

产品文档

Web 应用防火墙

账号安全

网站接入Web应用防火墙后,您可以为其开启账号安全功能。账号安全帮助您防御与账号相关的安全风险事件(例如注册、登录),具体包括撞库、暴力破解、垃圾注册、短信验证码接口滥刷。使用账户安全检测时,您只在WAF中配置防护接口,即可对接口做防护。

前提条件

  • 已开通Web应用防火墙实例,企业版及以上的套餐版本,更多信息,请参见开通Web应用防火墙
  • 已完成网站接入。更多信息,请参见添加域名

背景信息

包年包月开通的Web应用防火墙实例,其账号安全功能有以下限制。

功能 说明 高级版 企业版 旗舰版
账号安全 最多支持添加的防护接口数量。 不支持 3(条) 10(条)

操作步骤

  1. 登录Web应用防火墙控制台

  2. 在左侧导航栏,单击网站配置

  3. 网站配置页面定位到要防护的域名,在操作栏单击防护配置

  4. 在防护配置页面,单击业务风控页签,定位到账号安全模块,开启状态开关。

    image

  5. 在防护请求Tab页,点击添加防护接口,按照下表填写防护请求。

    image

    | 配置项 | 配置项说明 | | :------------- | :----------------------------------------------------------- | | 规则名称 | 输入防护规则的名称 | | 检测接口 | 输入账号信息提交接口的URI,检测接口不是登录接口所在页面的地址(/login),是填写调用登录/注册接口的接口信息。 | | 参数位置 | 参数位置,可以选择是在url中或者body中。 | | 账号参数名 | 填写账号字段对应的参考名称。 | | 密码参数名 | 填写密码字段对应的参数名称。 | | 配置动作 | 账号安全的防护模式。可选值:
    观察:识别到业务攻击时,只记录风险日志、不进行拦截,可通过业务风控日志查看详细风险情况。
    人机交互:识别到业务攻击时,进行算法挑战进行二次验证。
    拦截:发现异常请求后,直接阻断。可配置自定义返回页面。 |

6.点击确定,添加规则。防护请求添加成功后,10分钟左右生效。

7.账户安全接口配置示例:

  • 假设用户登录接口是/login.do,提交的POST请求body中内容样例为username=Jammy&pwd=618618,则账号参数名username密码参数名password,可以按截图所示进行配置。
  • 如果登录账号参数位于GET请求的URL中,例如/login.do?username=zhangsan&password=618618,则只需将请求方式设置为GET,其余设置与截图一致。

成功添加检测接口后,WAF后台会下发检测任务。若被检测接口的流量命中检测逻辑,一般几个小时后就开始产出账户安全风险事件。

更新时间:2021-05-27 11:39:50
文档反馈 docs feedback