设置账户安全_防护实验室_Web 应用防火墙-阿里云

Web应用防火墙支持账户安全检测，在Web攻击防护基础上帮助您识别与账户关联的业务接口（例如注册、登录等）上发生的账户安全风险事件，具体包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。使用账户安全检测时，您只需在WAF中配置防护接口，即可在WAF安全报表中查看相关检测结果。

前提条件

开启账户安全检测前，您必须了解业务中与账户安全有关的接口信息，以便完成后续配置，例如域名、提交账号信息的URL、具体的账号或密码字段的参数名称。每个Web应用防火墙实例最多支持为三个接口开启账户安全检测。

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击防护实验室 > 账户安全。
在账户安全页面，单击创建接口。
如果您是第一次进入账户安全页面，请跳过该步骤。

说明每个WAF实例最多可以添加三个检测接口。如果您已添加过三个接口，则创建接口按钮不可操作。

完成检测接口配置，并单击保存。创建接口


参数	说明
检测接口	选择要检测的域名并填写账号信息提交接口的URI。检测接口不是登录接口所在页面的地址（例如`/login.html`），而是最终提交登录用户名和密码信息的接口地址。说明如果您已开通资产管理，则WAF帮助您自动补全已接入域名的全部接口，您可以在这里直接选择要检测的接口。更多信息，请参见资产识别。
请求方式	选择接口的请求方式。可选值：POST、GET、PUT、DELETE。
账号参数名	填写账号字段对应的参数名称。
密码参数名	填写密码字段对应的参数名称。若检测接口无需提交密码，则该配置留空。
防护动作	选择对检测发现的账户风险请求的处置动作。可选值：预警拦截

账户安全接口配置示例：

假设用户登录接口是/login.do，提交的POST请求body中内容样例为username=Jammy&pwd=123456，则账号参数名是username，密码参数名是pwd，可以按截图所示进行配置。
如果登录账号参数位于GET请求的URL中，例如/login.do?username=Jammy&pwd=123456，则只需将请求方式设置为GET，其余设置与截图一致。
如果业务接口不需要密码参数，例如注册账号接口，则只需要填写账号参数名，密码参数名留空。
如果业务接口要求传入手机号作为用户凭证，则手机号可以视作账号参数。例如/sendsms.do?mobile=13811111111，则检测接口填写/sendsms.do，账号参数名填写mobile，密码参数名留空。

成功添加检测接口后，WAF后台会下发检测任务。若被检测接口的流量命中检测逻辑，一般几个小时后就开始产出账户安全风险事件。

说明账户安全开启后，所有网站请求默认都会经过账户安全规则的检测。您可以通过设置数据安全白名单，让满足条件的请求忽略账户安全规则的检测。更多信息，请参见设置数据安全白名单。

您可以在账户安全页面单击目标接口操作列下的查看报表，直接访问接口的账户安全报表，或者前往WAF安全报表页面查看账户安全报表。

以下内容介绍了通过安全报表页面查看账户安全报表的操作方法。

在Web安全页签下，单击账户安全，选择要查看的域名、接口、数据范围（昨天、今天、7天、30天），查看对应的账户安全风险事件。

账户安全报表的字段描述见下表。


字段	说明
接口	检测到账户安全事件的接口URI。
所属域名	接口隶属的域名。
异常时间段	检测到账户安全事件的时间段。
已拦截量	在异常时间段内，接口上发生的所有被当前WAF防护策略拦截的请求的数量。这里的策略指全部已经生效的防护策略，例如Web攻击防护规则、精准访问控制、CC攻击防护、区域封禁等。这个数字占总请求量的比值在一定程度上反映了当前接口的账户风险防控效果。
总请求量	在异常时间段内，接口上发生的总请求数量。
告警原因	产生告警的依据，目前包括以下几个维度：命中撞库或暴力破解的行为模型。该接口在对应时段内的流量基线异常。该接口在对应时段内命中威胁情报库的量较大。该接口在对应时间内命中了较多弱口令，有暴力破解或撞库的风险。