- 1、本文档共33页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
×
2019年
Web应用安全年度报告
阿里云安全团队
时间:2020.2
2019 Web应用安全年度报告
01
前言
2019年依然是网络安全事件频发的一年,不仅真实的攻击事件一再上演,规模性的红蓝对抗也愈发激
烈。而这其中Web应用安全相关的问题依然占据非常大的比重,从用户信息泄露到羊毛党的狂欢,无时
无刻不在考验着每一个行业每一个Web应用的安全水位。阿里云安全团队对2019年Web应用安全行业的
观察及实践进行梳理形成这份报告,希望给安全从业者和企业决策者带来一定的参考。
01
2019 Web应用安全年度报告
02
五问2019
1. 为什么我总抢不到茅台酒
我们经常在媒体上看到,人们反映茅台酒难抢。
茅台酒汹涌抢购现象的背后, “软件黄牛党” 的威名已是人尽皆知。面对着功能越发完善、特征越发隐蔽
的机器流量,饶是你自认手速天下无敌,到头来在“抢购”这件事上还是要屡战屡败。实际上不止是茅台
抢购这一种场景,互联网环境下形形色色的业务,小到公众号文章刷量,中到机票占座、火车票抢票,
大到垃圾注册、恶意撞库、内容爬虫,机器流量都在黑灰产攻击链路上承担了举足轻重的位置。
2019年的机器流量产业正进一步向着技术垂直化、分工明确化、攻击精细化方向发展。结合过去一年全
网机器流量的分析与对抗,我们从技术角度和链路上下游角度总结了一下过去的2019年机器流量产业结
构与趋势:
网络指纹特征库 IP资源提供者
有偿支持 协议伪造 (UAHeader包头等)
初级代理
逆向者
引用 VPN 海量 IP出口
黄网、页游、插件等 调用 键 |鼠|触 |陀 请求 秒拨
采集真人操作数据库 获取 操作伪造 混拨
逆向者 请求
账号库、身份证库、 调用 其他业务逻
邮箱库、猫池 获取 辑绕过模块 端指纹 执行环境层 特征篡改插 业
逆向&破解 驱动
浏览器
件/hook代码
脚本
or
driver协议
驱动
手机模拟器 改机神器/ 自 务
打码平台 打码 验证码 操作 定制化 驱动 or 动化刷机
(操作类+Ocr类) 识别&通过 浏览器 真机设备
支撑 敏捷开发 操作 底层
自动化框架 os层行为消息驱动
高并发 API驱动
行为复制&微小偏移
增加设备量
映射
文档评论(0)