web安全防护的一些方法

csrf防护手段

登陆csrf建议使用严格的referer验证策略来防御登陆csrf，登陆表单一般都是通过https发送，在合法请求里面的referer都是真实可靠的。如果没有referer字段登陆请求，网站应该直接拒绝以防御这种恶意的修改。

对于使用https协议的网站，如银行、电商类，建议使用严格的referer验证策略来防御csrf攻击。对于那些有特定跨站需求的请求，网站应该建立一份白名单，比如主页等。

如果web站点引用了第三方资源，如图像外链、超链接，网站应该使用一个正确的验证token的框架，比如Ruby-on-Rails。如果此类框架与业务结合效果不好，我们应该花时间来研发更好的token验证策略，例如可以用hmac方法将用户的session与token 绑定到一起。

我们还可以用origin字段来替代referer，既保留了原有效果，又尊重了用户隐私。如果不使用token来防御csrf攻击，这样web站点无论是http还是https请求，不用担心token泄露问题。

如果使用origin字段的方法来防御csrf攻击，网站要注意在处理get请求的时候不要有什么副作用。尽管http规范里已经这样要求，但是很多网站并没有很好的遵守这一要求。让网站都执行这一要求正是我们未来的工作重点。

csrf攻击变种，假如攻击者在一个可信的网站嵌入一个frame并引诱用户点击。严格意义讲这不算是csrf攻击，但有一个相似特点，攻击者都是利用client的浏览器来对他信任的网站发起请求。防御这种攻击的手段就是frame busting，但有个问题就是它依赖js，而js很有可能会被用户或者攻击者禁用。所以我们可以在origin字段里添加一些内容用来描述frame来源，也就是frame里面的超链接，这样受信任的网站就可以根据frame的来源来决定拒绝、还是接受这个请求。

应用安全风控

主要应对防止垃圾注册、账号被盗、活动作弊、垃圾消息等欺诈威胁。

基于设备指纹技术，可以获对端取操作设备的多重属性，例如浏览器指纹fingerprint。根据指纹分析该设备参与大促活动、关联多账号等情况，可有效识别作弊、薅羊毛设备。

要准确识别用户是否使用代理访问web站点，因为使用代理可以隐藏客户端真实ip。然后再结合风控模型、用户信息识别作弊用户。

大数据风控引擎，准确分析用户行为特征，有效识别欺诈作弊用户。银行等金融机构及各类电商/O2O发放红包优惠期间，营销活动保护方案将有效识别恶意抢红包用户。

针对票务、挂号平台黄牛抢票、以及营销活动，可以有效发现黄牛党们，从而制止刷单抢票行为。

电商平台低价优惠秒杀活动，营销活动保护可以识别出可疑用户，从而保证平台营销效果和正常用户利益。

营销活动保护可以对作弊点击行为进行拦截，帮助广告主过滤可疑流量，为广告投放效果保驾护航。

畸形协议报文

安全合规http/https请求合规，阻止不合规（RFC、用户自定义）。

恶意爬虫扫描

僵尸网络、全球代理、高匿名代理、tor洋葱代理、亿级恶意黑ip库情报（撞库，暴力破解，扫描，黑产ip库等）、漏洞、爬虫库、互联网攻击溯源数据，域名攻击数据等。

自定义bot行为识别规则，针对referer特征、ua特征、请求速率、次数、并发、参数、路径特征ip范围等防护规则。

针对bot行为拦截情况进行分类统计，以图形化报表展示，提供bot管理决策依据。

防篡改

广告插入防护针对用户侧网络通过内容劫持的方式插入非网站授权的广告或内容的行为进行检测与防护，在浏览器端移除被插入的广告内容，使其对用户不可见

防广告植入对客户端的内容劫持、插入广告的行为进行检测，移除被插入的广告内容，使其对用户不可见

时间戳防盗链对加密URL中的验证信息进行过期验证，验证通过后才认为请求合法，继续提供服务。

域名非法劫持

dns劫持攻击将对用户业务及品牌信誉带来严重损失。终端的检测探测点与云端强大数据分析能力，对客户提交的域名进行全国范围的dns验证，详细地展示受护域名在各个地域的劫持情况，规避dns劫持问题所带来的业务风险问题。

数据防泄漏

web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户身份证信息、联系方式等敏感信息被攻击者获取。

事前：对服务器信息如响应码，数据库错误信息进行隐藏，并识别拦截黑客的扫描行为，防止黑客的踩点探测漏洞的行为，提升黑客入侵难度。

事中：对黑客入侵行为，如sql注入行为，webshell 上传行为进行感知拦截，阻止黑客对数据库的进一步入侵。

事后：提供自定义的信息泄露防护规则，针对检测到的数据窃取行为，自动启用数据替换策略，将攻击响应传输中的敏感数据，

敏感信息防泄露：避免身份证、银行卡、电话号码等敏感数据泄露，针对服务器返回的异常页面或关键字做信息保护。

如电话号码，身份证号进行替换隐藏，防止黑客获取业务数据。

输入规则名称、选择匹配条件（匹配字段为敏感信息，匹配条件为包含，匹配内容为身份证或手机号）和执行动作（替换或观察），

把回应报文body中命中规则内容，替换成*******。

原文链接：https://blog.csdn.net/realmardrid/article/details/117456700

原创文章，作者：优速盾-小U，如若转载，请注明出处：https://www.cdnb.net/bbs/archives/18354