020. 2019年Web应用安全年度报告.pdf

× 2019年 Web应用安全年度报告 阿里云安全团队 时间：2020.2 2019 Web应用安全年度报告 01 前言 2019年依然是网络安全事件频发的一年，不仅真实的攻击事件一再上演，规模性的红蓝对抗也愈发激 烈。而这其中Web应用安全相关的问题依然占据非常大的比重，从用户信息泄露到羊毛党的狂欢，无时 无刻不在考验着每一个行业每一个Web应用的安全水位。阿里云安全团队对2019年Web应用安全行业的 观察及实践进行梳理形成这份报告，希望给安全从业者和企业决策者带来一定的参考。 01 2019 Web应用安全年度报告 02 五问2019 1. 为什么我总抢不到茅台酒 我们经常在媒体上看到，人们反映茅台酒难抢。 茅台酒汹涌抢购现象的背后， “软件黄牛党” 的威名已是人尽皆知。面对着功能越发完善、特征越发隐蔽 的机器流量，饶是你自认手速天下无敌，到头来在“抢购”这件事上还是要屡战屡败。实际上不止是茅台 抢购这一种场景，互联网环境下形形色色的业务，小到公众号文章刷量，中到机票占座、火车票抢票， 大到垃圾注册、恶意撞库、内容爬虫，机器流量都在黑灰产攻击链路上承担了举足轻重的位置。 2019年的机器流量产业正进一步向着技术垂直化、分工明确化、攻击精细化方向发展。结合过去一年全 网机器流量的分析与对抗，我们从技术角度和链路上下游角度总结了一下过去的2019年机器流量产业结 构与趋势： 网络指纹特征库 IP资源提供者 有偿支持 协议伪造 （UAHeader包头等） 初级代理 逆向者 引用 VPN 海量 IP出口 黄网、页游、插件等 调用 键 |鼠|触 |陀 请求 秒拨 采集真人操作数据库 获取 操作伪造 混拨 逆向者 请求 账号库、身份证库、 调用 其他业务逻 邮箱库、猫池 获取 辑绕过模块 端指纹 执行环境层 特征篡改插 业 逆向&破解 驱动 浏览器 件/hook代码 脚本 or driver协议 驱动 手机模拟器 改机神器/ 自 务 打码平台 打码 验证码 操作 定制化 驱动 or 动化刷机 （操作类+Ocr类） 识别&通过 浏览器 真机设备 支撑 敏捷开发 操作 底层 自动化框架 os层行为消息驱动 高并发 API驱动 行为复制&微小偏移 增加设备量 映射