《2019年上半年Web應用安全報告》釋出：90%以上攻擊流量來源于掃描器，IP身份不再可信

Web應用安全依然是網際網路安全的最大威脅來源之一，除了傳統的網頁和APP，API和各種小程式也作為新的流量入口快速崛起，更多的流量入口和更易用的調用方式在提高web應用開發效率的同時也帶來了更多和更複雜的安全問題。一方面，傳統的SQL注入、XSS、CC攻擊等傳統攻擊手段和各種新爆出的web漏洞無時無刻不在考驗着web應用安全方案的健壯性、靈活性和安全團隊的快速反應能力，另一方面随着大資料技術和流量産業的成熟，網際網路中來自自動化程式的流量占比也在迅速增長，爬蟲也随之成為一個不容忽視的存在，伴随而來的資料洩露、流量作弊等問題也為各類業務帶來了非常頭痛的費用浪費、業務不可用以及各類業務安全類問題。

作為防禦Web應用安全的基礎設施，Web應用防火牆（WAF）依舊扮演着極其重要的角色，而其中雲WAF又具備漏洞響應快、功能疊代迅速、支援彈性擴容、快速容災等優勢。本報告根據阿裡雲WAF和防爬團隊對2019年上半年雲上流量的分析情況，為您帶來最新的攻擊趨勢、漏洞應急情況以及一線安全專家的核心觀點和防護建議。

報告發現：

1. 90%以上攻擊流量來源于掃描器

掃描器往往是攻擊者的開路利器，在大規模批量掃描中被嗅探到大量漏洞的web站點更容易成為攻擊者下手的對象。通過特征、行為等次元識别并攔截掃描器請求，可以有效降低網站被攻擊者盯上的機率，同時有效緩解批量掃描行為帶來的負載壓力。

從目前的資料來看，攔截的攻擊中，掃描器産生的請求數量在90%以上，除去掃描器自動化産生的攻擊，剩下的10%手工測試行為，0day，廣度低頻等攻擊則是需要花上90%精力來解決，如圖3-1所示。

2. 利用編碼繞過防護的行為愈發普遍

随着WAF對網站的防護越來越普及，針對基礎web攻防來說，利用諸如MySQL、JavaScript語言特性進行各種編碼、變形，進而繞過WAF防護的攻擊payload也越來越多，攻防是一個持續對抗更新的過程。根據雲上資料顯示，目前已有近1/3的攻擊資料采用了不同程度或類型的編碼、變形手段，以期繞過雲盾WAF的防護，其中甚至不乏使用多元度的複合變形、編碼手段實施攻擊。

雲盾WAF新一代引擎架構，支援多種常見HTTP協定資料送出格式全解析：HTTP任意頭、Form表單、Multipart、JSON、XML；支援常見編碼類型的解碼：URL編碼、JavaScript Unicode編碼、HEX編碼、Html實體編碼、Java序列化編碼、base64編碼、UTF-7編碼；支援預處理機制：空格壓縮、注釋删減，向上層多種檢測引擎提供更為精細、準确的資料源。

該架構主要特征包括：在準确性上，優化引擎解析HTTP協定能力，支援複雜格式資料環境下的檢測能力；抽象複雜格式資料中使用者可控部分，降低上層檢測邏輯的複雜度，避免過多檢測資料導緻的誤報，降低多倍的誤報率；在全面性上，支援多種形式資料編碼的自适應解碼，避免利用各種編碼形式的繞過。

3. IP身份不再可信

IP位址是傳統防護中一個非常重要的手段，很多經典的防護手段，如限速、名單、異常行為識别、威脅情報等都是基于IP位址實作的。但随着現在黑灰産對大規模代理IP池，特别是秒撥IP的廣泛使用，IP位址已經變得不再可信。同一個IP位址，在10分鐘前還被合法使用者小白用于浏覽A網站，在10分鐘後已經被黑産人員小黑用作撞庫攻擊的代理IP，一個IP背後的身份開始變得極其複雜，黑與白交接的灰色地帶比例在迅速擴大，這對于很多傳統安全方案（不論是黑名單機制還是白名單機制）都帶來了颠覆性的威脅，帶來的相應誤報和漏報也在迅速增長。

相應的，防護一方也應該做出改變。我們建議在做安全防護方案時，一方面将IP的身份或信譽輔助以其他次元的情報資訊或者二次校驗手段綜合判斷；另一方面降低對于IP的依賴，從更多元度去辨別一個“用戶端”或者“使用者”，如裝置指紋、業務中打點的token、cookie等等。

擷取完整版報告請點選連結：

https://files.alicdn.com/tpsservice/3ae3996f0011b95f27a4d07f9804cf87.pdf?.pdf