第一次遭遇安全攻击

2016年9月14日,中秋前一天,我遇到了人生中第一次的信息安全攻击。

这件事大致如下:

        我作为PM负责一个手机端网页产品,通过微信的「摇一摇」把这个页面传递给用户。14日早上起来,运营妹纸告诉我有些还没有对外开放的页面被访问了。之后这个情况一直持续到18日,也就是今天。

情况分析:

        通过分析这些用户的信息,了解到反复访问这些页面的用户应该是机器人,而非真实的用户,因为操作频率太高,接近于系统设定的刷新时间限制,而且持续时间久,如果是真实用户的话,那太过于无聊。

        只要我们新创建一个页面,不超过5分钟就会有好几个机器人开始重复访问,这说明攻击者有一个不断维护的访问地址目录。有两种可能,一是我们的页面地址命名太有规律,二是攻击者使用爬虫遍历了我们的网站。

        目前这些攻击还不至于使我们的业务受到致命的影响,但对于运营人员来讲很麻烦。

网站的bug:

  • 页面地址命名规律太明显;
  • 网站根目录没有反爬虫文件;
  • 网站访问没有设置验证码这一流程;
  • 网站没有设置黑名单,限制访问;

 

对应的解决方案:

  • 修改页面地址命名规则,让攻击者无法通过规则直接生成链接访问,这一步屏蔽掉手动攻击的人群;
  • 增加反爬虫文件,理论上屏蔽爬虫遍历地址,这只是「君子协议」,无法限制恶意爬虫;
  • 增加滑动图片验证手段,这一步可以极大程度上屏蔽掉机器人,但是对现有用户访问体验不够友好;
  • 增加网站黑名单功能,可以多维度进行屏蔽,比如说IP地址(可以屏蔽掉机器人)、OpenID(屏蔽掉该微信用户)、Mac地址(这个考虑当中,存在一定得误伤可能性)。

 

评论:

         因为这个网站是找外包团队做的,所以解决问题的反馈速度有些慢。中秋放假三天就没有处理这个问题了。还是要尽快自己组建技术团队,现在我的问题就是无法区分靠谱的技术人员。Naive!

发表评论

电子邮件地址不会被公开。 必填项已用*标注