0x1本周话题
话题一:大家防爬虫有啥好方法么?有几个接口每天定点频率很低的来爬,每个ip就查询1-2次,查询条件精准输入,绕过了网易盾的验证码,阿里云waf也没防住。
A1:限制非登录用户的访问。
A2:是需要登陆后访问的,这基本的条件是有的。是微信小程序、h5选座等业务。需要输入:姓名、身份证、编号、日期、网易验证码才能查询。
A3:一个用户一分钟换ip超过x次,直接禁止账号访问y小时。
A4:所有登录的用户可以查别的身份证的信息,你就当它是真人好了,暂时先不考虑网易盾的事,
A5:关键是他输入的信息和查询的信息基本上一模一样,不知道来查询是为了什么?确实是机器行为。
A6:比如粉丝查明星行程?不需要黑产,都是原动力,我觉得用户不能查别人的选座。
A7:看持续的时间多久,如果是几天内,有可能是在做自动化查询调试。如果需要登录后才能查询,登录后也没越权查询,那么最终还是需要正确口令才能查其他用户的信息。感觉还是要看这的业务需求和安全要求是怎么样的,如果没口令要求,而这些字段也可以从其他渠道获取,那被查询也正常。这个方式是可以提高爬取成本,然后最好和设备特征再绑定,如果频繁换设备的话因该就是有问题的。
A8:是那种帮别人选座的业务,对方需要输入的信息都一次性正确,区别正常业务的就是 机器行为。
A9:设备信息可以通过代码伪装参数,不一定能识别,识别ip会更好些。
Q:不是有动态令牌的waf吗?客户需要登录啊?
A10:意思是一个微信或h5登录后,可以为任意知道这些字段的用户选座吗?比如我登录了小程序,又知道登机人的姓名、身份证、编号、日期,就可以帮忙选座吗?
A11:嗯,大概是这意思,但是其实他就是查询,不选座。
A12:目前的推测是:如果都是同一个登机人的信息,可怀疑在调试自动化查询,留意查询后会响应哪些比提交信息更多的个人信息。 如果是提交多个登机人,那么可以排查响应信息是不是附带其他有价值信息,可能上在拖信息。更担心的是,知道这些信息后,是不是可以随便改其他人的选座,如果是这种情况,小程序或h5实名的话,也比较好溯源,估计也少人干这事,毕竟容易被发现,除非实名也是假身份。这是从安全角度的瞎想,如果有其他第三方业务合作方提供给用户查询选座,需要调用接口,那又另一回事了。
A13:对外开放的接口做频控,公开入口加验证码(比如12306的款)。
A14:目前就是发现没有其它返回信息,验证码是有的,网易的,但是发现应该是被绕过了。他的频率很低,属于正常范围额。
A15:感觉不像是爬虫行为,输入姓名和身份证号门槛很高了,即便去买也是高成本。更像是RPA,比如选座或其他服务,第一步先验证身份,这些信息都是用户真实提交的。
话题二:请教下各位,服务器装了HIDS后,还需要做定期的漏洞扫描吗?监管认不认HIDS上的结果?
A1:实际情况我猜想肯定不是仅仅企业邮件服务的事,应该还有些IT运营运维账号的事,合作方是想作为一个虚拟BU使用某一个企业的办公服务(这里指企业邮箱)。
A2:HIDS大部分情况只是系统漏洞和软件或组件漏洞吧,常规的漏洞扫描还是要的吧。有些漏洞是配置导致的或者应用功能层面的。
A3:HIDS的漏扫远远多于实际暴露的,HIDS相当于白盒检测,漏扫相当于黑盒吧,检测结果应该是可以认可的,问题是测出来的漏洞都会修复么。
A4:是,HIDS检测广度要宽些。
A5:一般不会只反馈检测结果,还要反馈整改结果。
A6:我没说清楚,这里单指系统扫描,应用扫描肯定还是要单独扫的。漏洞扫描工具或者方式不一样,结果不一样,所以不知道监管认不认HIDS这个层面的。
A7:肯定认,但是拿出来的结果会很难看,我们只是拿来做补充,但最好还是网络漏扫更合适,不然监管让你提交系统截图证明,里面一堆本地软件漏洞。
A8:能都修的话,大部分应该可以,不过hids基于版本匹配漏洞数量肯定多,修复是问题,另外还有些未授权访问和操作系统的漏洞,不知道hids能否都识别?具体也得看hids的能力
A9:有cve的应该都可以,版本匹配的话扫描器也很多是这样的,都得再判断一次。
A10:我理解监管不会在意你用什么方式挖掘主机漏洞,本地agent扫描也好,远程扫描也罢,都是可以的。监管的检查只会针对你是否开展,开展频率,结果处置有关注。
A11:1.要 2.监管不管这个。
