自动化攻击泛滥:羊毛党、刷单、短信轰炸、撞库攻击、爬虫工具等导致数据泄露和业务不可用。
0 day漏洞威胁:基于开源组件的漏洞利用,传统WAF无法实时拦截。
暴露面扩大:数字化转型加速,Web应用、H5、小程序、APP等多终端接入,攻击入口激增。
针对用户请求的URL,为其生成一个唯一短期有效的令牌,支持配置令牌次数和令牌时间,进行更加细化的防护,抵御越权访问、网页后门及重放攻击等恶意行为。
对URL地址进行动态随机化,以防止黑客或者攻击软件对该接口进行恶意调用攻击,导致业务无法正常提供服务。
对HTTP的回应和请求中增加动态cookie,以防止各种高级机器人模拟浏览器进行登录,获取登录相关信息后进行重放攻击,可设置动态cookie的有效次数和有效时间进一步加强安全性。
自动识别数据提交动作,并针对POST提交的数据使用加密算法进行加密处理,防止攻击者逆向分析,对抗中间人攻击。
通过收集客户端浏览器信息,为每个客户端生成唯一的指纹标识;通过设备指纹、用户行为分析(点击频率、移动频率、输入内容)区分人机流量,拦截自动化工具、撞库、暴力破解等恶意攻击。
