网站接入Web应用防火墙后,您可以为其开启账号安全功能。账号安全帮助您防御与账号相关的安全风险事件(例如注册、登录),具体包括撞库、暴力破解、垃圾注册、短信验证码接口滥刷。使用账户安全检测时,您只在WAF中配置防护接口,即可对接口做防护。
已开通Web应用防火墙实例,企业版及以上的套餐版本,更多信息,请参见开通Web应用防火墙。
已完成网站接入。更多信息,请参见添加域名。
包年包月开通的Web应用防火墙实例,其账号安全功能有以下限制。
功能 | 说明 | 高级版 | 企业版 | 旗舰版 |
---|---|---|---|---|
账号安全 | 最多支持添加的防护接口数量。 | 不支持 | 3(条) | 10(条) |
登录Web应用防火墙控制台。在左侧导航栏,单击网站配置。
在网站配置 页面定位到要防护的域名,在操作栏单击防护配置。
在防护配置页面,单击业务风控 页签,定位到账号安全 模块,开启状态开关。
在防护请求Tab页,点击添加防护接口,按照下表填写防护请求。
规则名称:输入防护规则的名称, 不超过30个字符。。
检测接口:输入账号信息提交接口的URI,检测接口不是登录接口所在页面的地址(/login),是填写调用登录/注册接口的接口信息。
参数位置:参数位置,可以选择是在url中或者body中。
账号参数名:填写账号字段对应的参考名称。
密码参数名:填写密码字段对应的参数名称。
配置动作:账号安全的防护模式。
观察:识别到业务攻击时,只记录风险日志、不进行拦截,可通过业务风控日志查看详细风险情况。
人机交互:识别到业务攻击时,进行算法挑战进行二次验证。
拦截:发现异常请求后,直接阻断。可配置自定义返回页面。
5.点击确定,添加规则。防护请求添加成功后,10分钟左右生效。
6.账户安全接口配置示例:
假设用户登录接口是/login.do
,提交的POST请求body中内容样例为username=Jammy&pwd=618618
,则账号参数名 是username
,密码参数名 是password
,可以按截图所示进行配置。
如果登录账号参数位于GET请求的URL中,例如/login.do?username=zhangsan&password=618618
,则只需将请求方式 设置为GET,其余设置与截图一致。
成功添加检测接口后,WAF后台会下发检测任务。若被检测接口的流量命中检测逻辑,一般几个小时后就开始产出账户安全风险事件。
我们的产品专家为您找到最合适的产品/解决⽅案
1v1线上咨询获取售前专业咨询
专业产品顾问,随时随地沟通