成算在心 | 防止WEB扫描攻击，绿盟下一代WAF主动出击

国际机构调研表明，在2022年互联网流量中，Bot流量（自动化程序流量）占比47.4%，其中恶意Bot流量占到了30.2%，而且比例在快速增长。Bot 防护是Web安全防护建设的重要一环。

（源数据来源：2023 Imperva Bad Bot Report）

攻击者通常会通过自动化工具或者脚本等程序对WEB应用进行攻击探测。这个是网络入侵行为的第一步。如果WEB站点的漏洞被黑客利用将会带来敏感信息泄露、数据滥用等安全风险，造成财产损失以及公司声誉受损。

同时，攻击者还可以通过自动化工具进行数据批量爬取。恶意Bot会对网站、移动APP和API进行高速滥用、误用和攻击，执行各种恶意动作，并且导致消耗带宽、服务器速率降低，甚至瘫痪服务器，中断业务。

面对越来越复杂的恶意Bot攻击，API安全风险问题，绿盟下一代WAF，在原有Web安全的基础上，加入了Bot安全和API安全的方案，从安全防御和企业业务发展双视角出发，保障企业用户的Web应用安全、业务安全、数据安全，帮助客户将安全能力转化为实际业务价值。

通过人机识别、令牌认证、提交数据混淆、页面元素混淆等多重防护手段，针对业务侧层出不穷的爬虫、薅羊毛、漏洞扫描等自动化攻击事件，精准地实现Bot流量识别与拦截等，从而防止爬虫爬取以及自动化工具的攻击。有了Bot动态防护能力，能有效反爬虫，防扫描，降低薅羊毛的风险，减少由此带来的信息泄露及漏洞暴露风险。

★人机识别：判断请求来源客户端是否是Bot自动化工具。人机识别用于识别出Bot，能够防护爬虫、扫描器等自动化工具的攻击。

★ 令牌认证：WAF验证令牌的合法性，防止重放攻击，用于验证每个请求是否包含合法的令牌，能够防护重放攻击和自动化工具的攻击。

★ 提交数据混淆：对提交的数据进行加密，防止中间人攻击和隐私数据泄露。

★ 页面元素混淆：对HTML元素动态变化处理，从而隐藏链接入口，防止爬虫爬取。页面元素混淆用于A标签、From表单以及JS内容进行混淆变换，能够防护爬虫、扫描器等自动化工具的攻击。

绿盟下一代WAF可以根据基线流量自动识别业务API，帮助客户梳理API资产，识别僵尸API；通过API合规检查保障API接口的的合理调用，避免注入攻击或溢出攻击等行为带来的客户损失；还可以配置站点防护策略，有效防御API资产漏洞引发的各种已知、未知威胁，有效保障客户的业务安全。

API资产梳理：支持API资产自学习，从业务流量中学习API资产，自动生成API列表；对API进行分类管理，对无风险的API可以一键加入基线，而有风险的API可以做多样化的处置动作，通过梳理后，可形成API资产基线，有效防范僵尸API或影子API带来的未知风险。

API合规检测：由于API在开发阶段无法预料各种业务场景，未对参数进行过多合法检查。为了弥补该问题带来的威胁，绿盟下一代WAF可通过合规文件对API接口的参数有效范围进行设置，避免API非法调用引发的注入攻击或是内存溢出等行为，保障客户的业务安全和数据安全。

1、通过对应用层数据深度检测分析，防御各类 OWASP TOP 10 的WEB安全威胁，例如：SQL注入、网站挂马、远程缓冲区溢出等。

2、通过绿盟下一代WAF的Bot动态防护能力，能够有效反爬虫，防扫描，降低薅羊毛的风险，减少由此带来的信息泄露及漏洞暴露风险。

3、帮助客户快速梳理并纳管有效的API资产，识别和处置风险API；针对API进行合规检查；并且识别防护各类针对API的WEB攻击。