一、功能描述
若业务系统中与账户关联的业务接口(如登录、注册)容易发生账户安全风险事件,为了保护用户的账号安全,可使用创宇盾弱口令检测功能。
二、功能配置
配置入口:https://defense.yunaq.com/cyd_manage/manage/或者登录云防御平台,进入【创宇盾】-【功能管理】-【账户安全设置】。
三、操作步骤
开启弱口令检测前,需收集必要的接口信息,包括提交登录信息的具体URL、账号和密码字段的参数名称、密码安全需求等。
步骤一:在控制面板中选择域名,点击功能右侧的【添加】按钮,进入弱口令防护配置页面。
步骤二:点击添加策略,自定义填写防护策略名称、设置该条策略的匹配条件,并点击保存。
字段说明:
1.策略名称:可任意输入策略名称。
2.匹配字段:包括【密码长度】和【密码内容】,一条策略中【密码长度】限制只可设置一个,【密码内容】限制最多可设置四个。
3.逻辑符:若匹配字段选择【密码长度】,逻辑符可选择 【大于】、【等于】;若匹配字段选择【密码内容】,则逻辑符可选择【包含】、【不包含】。
4.匹配内容:若匹配字段选择【密码长度】,则【匹配内容】中填写1~50的整数;若匹配字段选择【密码内容】,则【匹配内容】中选择数字、大写字母、小写字母、特殊符号(特殊符号包括:~!@#$%^&*_.<>/?\)。
步骤三:点击添加接口,填写需防护的接口地址,账号、密码参数名,选择防护策略和防护动作并点击确认。
字段说明:
1.防护接口:弱口令检测的接口URL,该接口URL不是登录接口所在页面的地址(例如/login.html),而是最终提交登录用户名和密码信息的接口地址。该URL的域名部分默认为当前登录域名,无需填写,只需填写URL域名之后的部分即可(如完整接口地址为:http://www.exmaple.com/login.jsp,在填写时只填写 /login.jsp即可)。
2.账号参数名:填写账户字段对应的参数名称(假设用户登录接口是/login.do,提交的POST请求Body中内容样例为username=qqq&pwd=123456,则账号参数名是username)。
3.密码参数名:填写密码字段对应的参数名称(假设用户登录接口是/login.do,提交的POST请求Body中内容样例为username=qqq&pwd=123456,则密码参数名是pwd)。
4.弱口令防护策略:在步骤一中添加的防护策略。
5.防护动作:包括“阻断”和“记录”。“阻断”:若某一IP在该登录接口上使用弱口令登录,则对该次请求进行阻断,弹出拦截页面并记录。“记录”:若某一IP在该登录接口上使用弱口令登录,则对该次请求进行记录,在报表中体现。
注意事项:
1.每条策略最多添加5个条件,且需满足所有条件,该策略才生效。
2.密码内容相关策略,最多设置四条,且不可互斥,比如:若已设置“密码内容包含大写字母”,则不可再设置“密码内容不包含大写字母”。
3.正在使用的策略不可被删除,如需删除需先关闭该策略的使用。
4.策略设置为允许访问的条件,若登录密码不满足所设策略则被视为弱口令,进行相应的防护动作。
5.功能开启后,若检测到被防护的业务接口发生了弱口令登录(无论登录成功与否),则根据用户设置的防护动作进行拦截或记录,检测结果可在WAF安全报表中查看。
6.每个域名支持的检测接口数量受套餐版本限制,如需更多检测接口可与商务经理联系。
弱口令防护最佳实践可参考:http://help.yunaq.com/faq/3496/index.html
弱口令防护拦截说明可参考:http://help.yunaq.com/faq/3697/index.html