Cloudflare的帳戶接管保護(hù),cloudflare api的用戶名-ESG跨境

Cloudflare的帳戶接管保護(hù),cloudflare api的用戶名

來源網(wǎng)絡(luò)
來源網(wǎng)絡(luò)
2022-04-28
點(diǎn)贊icon 0
查看icon 787

Cloudflare的帳戶接管保護(hù),cloudflare api的用戶名Cloudflare的帳戶接管保護(hù)。最終用戶賬戶安全始終是重中之重,但仍是一個棘手的問題。更糟糕的是,很難對用戶進(jìn)行認(rèn)證。隨著違反憑據(jù)的數(shù)據(jù)集變得司空見慣,以及更高級的機(jī)器人在網(wǎng)絡(luò)上爬行并嘗試憑據(jù)填充攻擊,保護(hù)和監(jiān)控身份驗(yàn)證端點(diǎn)已成為注重安全的團(tuán)隊......

Cloudflare的帳戶接管保護(hù),cloudflare api的用戶名




Cloudflare的帳戶接管保護(hù)。

最終用戶賬戶安全始終是重中之重,但仍是一個棘手的問題。更糟糕的是,很難對用戶進(jìn)行認(rèn)證。隨著違反憑據(jù)的數(shù)據(jù)集變得司空見慣,以及更高級的機(jī)器人在網(wǎng)絡(luò)上爬行并嘗試憑據(jù)填充攻擊,保護(hù)和監(jiān)控身份驗(yàn)證端點(diǎn)已成為注重安全的團(tuán)隊面臨的一項(xiàng)挑戰(zhàn)。最重要的是,許多身份驗(yàn)證端點(diǎn)仍然只依賴于提供正確的用戶名和密碼來填充未檢測到的憑據(jù),從而導(dǎo)致惡意參與者接管帳戶。

Cloudflare平臺的許多功能可以幫助實(shí)現(xiàn)帳戶接管保護(hù)。在本文中,我們將介紹幾個例子,并宣布一些新功能。其中包括:

打開代理宿主列表(新):確保對您的應(yīng)用程序的身份驗(yàn)證嘗試不是來自代理服務(wù);

超級機(jī)器人戰(zhàn)爭模式(新):讓自動流量遠(yuǎn)離你的認(rèn)證端點(diǎn);

暴露的憑據(jù)檢查(新):每次用戶使用損壞的憑據(jù)登錄時,他都會收到警告。這可用于啟動雙因素身份驗(yàn)證過程或重置密碼。

云接入:通過與第三方OATH服務(wù)的輕松集成,增加一個額外的認(rèn)證層,并通過托管設(shè)備的可選實(shí)現(xiàn)(新)很快實(shí)現(xiàn);

登錄失敗的速率限制:停止嘗試用強(qiáng)憑據(jù)填充應(yīng)用程序;

當(dāng)這些功能一起使用時,它們可以成為強(qiáng)大且易于部署的工具,以提高最終用戶帳戶的安全性。

Cloudflare開放代理列表

2020年7月,我們推出了IP列表,這是一個可重復(fù)使用的IP列表,用戶可以在編寫自定義防火墻規(guī)則時創(chuàng)建和維護(hù)它。雖然這對于任何防火墻管理員來說都是一個很好的工具,但就像任何用于訪問控制的IP列表一樣,它很快就會過時。

使用我們新的Cloudflare開放代理管理列表您現(xiàn)在可以編寫自定義防火墻規(guī)則,并將其與Cloudflare完全管理并定期更新(每小時)的列表相匹配。根據(jù)觀察到的網(wǎng)絡(luò)流量和對開放代理端點(diǎn)的主動搜索來填充列表。

新的開放代理托管列表你可以在“帳戶主頁”→“配置”→“列表”中找到它,或者直接在自定義規(guī)則中使用它。

通過在編寫自定義防火墻規(guī)則時將IP列表與其他過濾器相結(jié)合,您可以降低嘗試登錄到身份驗(yàn)證端點(diǎn)的風(fēng)險。使用我們的wirefilter語法編寫一個利用新列表的規(guī)則,如下所示:

http.request.uri.pathcontains/loginand(notip.srcin$cf.open_proxiesandcf.bot_management.score30)

然后,根據(jù)規(guī)則的選擇,任何身份驗(yàn)證嘗試都將被阻止或質(zhì)詢。

SOCK和代理IP列表適用于所有企業(yè)客戶。

超級機(jī)器人的戰(zhàn)斗模式和API濫用檢測

端點(diǎn)為機(jī)器人提供了登錄的機(jī)會。壞的機(jī)器人通過在幾秒鐘內(nèi)測試數(shù)千(甚至數(shù)百萬)個憑證來真正利用時間。這些漫游者將繼續(xù)存在,直到他們從你的網(wǎng)站中提取一些價值。

好在我們最近發(fā)布了《超級機(jī)器人戰(zhàn)爭模式》。這項(xiàng)功能包含在所有Pro和商業(yè)計劃中,我們已將其與實(shí)時分析配對,因此您可以隨時觀察攻擊。超級機(jī)器人戰(zhàn)斗模式旨在防止憑據(jù)填充。在后臺,我們正在運(yùn)行許多與我們的企業(yè)機(jī)器人管理產(chǎn)品相同的檢測引擎。

我們新的超級機(jī)器人戰(zhàn)斗模式。可以在防火墻→機(jī)器人下找到。

最好的部分:你可以馬上添加保護(hù)。專業(yè)用戶可以在互聯(lián)網(wǎng)上選擇允許、阻止或挑戰(zhàn)確定性機(jī)器人。企業(yè)甚至可以瞄準(zhǔn)“可能的機(jī)器人”,這些機(jī)器人往往更復(fù)雜,更難找到。我們的免費(fèi)用戶可以繼續(xù)使用機(jī)器人戰(zhàn)斗模式開關(guān)進(jìn)行基本保護(hù)。

暴露憑證檢查

憑據(jù)填充攻擊者試圖使用用戶名/密碼對(用戶的憑據(jù))登錄目標(biāo)帳戶,該用戶名/密碼對之前因違反其他一些服務(wù)而被盜。不幸的是,這種方法通常是有效的,因?yàn)槌^50%的用戶對多個帳戶使用相同的密碼——結(jié)果,大量的帳戶被銷毀。因此,您自己的最終用戶帳戶的安全性不僅取決于您自己系統(tǒng)的安全性,還取決于用戶使用的所有其他系統(tǒng)的安全性。雖然多因素身份認(rèn)證可以提供深度防御,但許多身份認(rèn)證服務(wù)和用戶還沒有使用它。即便如此,我們?nèi)匀幌M軌蛟谟脩裘?密碼對為“真”時警告服務(wù)及其用戶。脆弱。

除了僵尸檢測等其他方法之外,業(yè)內(nèi)一種新的最佳實(shí)踐是讓登錄服務(wù)本身檢查其用戶憑證是否存在已知的數(shù)據(jù)漏洞。這需要有一組已知的違規(guī)用戶名/密碼對。“我被盜了”和“谷歌密碼泄露警報”等服務(wù)匯集了已知被盜用戶名/密碼對的大型數(shù)據(jù)庫,并允許公司或最終用戶查找它們以確定漏洞。然而,集成可能具有挑戰(zhàn)性,理想情況下,組織只需按一下按鈕就可以打開憑據(jù)檢查保護(hù)。

通過我們的托管規(guī)則集,很容易啟用公開的憑據(jù)檢查。此外,您可以編寫自己的自定義規(guī)則。??

受Cloudflare保護(hù)的任何應(yīng)用程序的登錄請求都通過WAF路由,這為“按路徑”公共憑據(jù)檢查提供了機(jī)會。啟用后,當(dāng)進(jìn)行任何身份驗(yàn)證嘗試時,WAF將根據(jù)Cloudflare收集和維護(hù)的泄漏憑據(jù)數(shù)據(jù)庫自動檢查終端用戶憑據(jù)。如果發(fā)現(xiàn)匹配,WAF會將頭添加到源,以便它可以警告您的應(yīng)用程序關(guān)于易受攻擊的憑證,例如,觸發(fā)該用戶的密碼重置過程或第二因素身份驗(yàn)證質(zhì)詢。

至少可以說,處理用戶名和密碼是高度敏感的,我們設(shè)計了一個公共憑證檢查功能來保護(hù)用戶憑證。一個關(guān)鍵的設(shè)計原則是用戶名/密碼對絕不能暴露在WAF流程的邊界之外,從而確保我們可以在不增加任何其他風(fēng)險的情況下執(zhí)行檢查。這意味著該函數(shù)永遠(yuǎn)不會在WAF進(jìn)程1之外傳輸用戶名或密碼或記錄它,因?yàn)槲覀儾幌胫肋@些憑證中的任何一個——只有當(dāng)它們對您的網(wǎng)絡(luò)安全構(gòu)成威脅時才有意義。然而,除此之外,我們還建立了一個加密協(xié)議來保護(hù)隱私,以執(zhí)行數(shù)據(jù)庫查找。粗略地說,我們將密鑰加密散列函數(shù)應(yīng)用于WAF過程中的用戶名/密碼對,并檢查得到的散列值是否與我們已知的泄露的憑證數(shù)據(jù)庫中的密鑰對散列值相匹配。我們將在后續(xù)的技術(shù)深入討論中進(jìn)一步解釋這一點(diǎn)。

使用受管設(shè)備訪問cloud flare

借助Cloudflare Access,您可以在任何受Cloudflare保護(hù)的應(yīng)用程序之前提供額外的身份驗(yàn)證層。Access通過對每個請求驗(yàn)證用戶的身份、位置和網(wǎng)絡(luò)來保護(hù)應(yīng)用程序。這自然增加了最終用戶帳戶的安全性。

然而,用戶使用的設(shè)備可能仍然不安全。與受感染設(shè)備的有效身份驗(yàn)證會話可能會導(dǎo)致數(shù)據(jù)泄漏,或者更糟的是,最終用戶帳戶或應(yīng)用程序被完全破壞。企業(yè)試圖通過管理和分發(fā)能夠通過移動設(shè)備管理(MDM)解決方案實(shí)施安全策略的公司設(shè)備來降低這種風(fēng)險。

為了解決這個問題,我們正在改進(jìn)Cloudflare訪問,以強(qiáng)制只有公司設(shè)備才能訪問敏感應(yīng)用程序。有了訪問規(guī)則,您現(xiàn)在可以在允許訪問之前對照受管設(shè)備列表驗(yàn)證設(shè)備的序列號。即使用戶的憑證被泄露,任何未授權(quán)的訪問都將被阻止,因?yàn)樵O(shè)備的序列號不在被管理設(shè)備的列表中。有關(guān)更多信息,請參見我們最近的公告。

登錄失敗的比率限制

暴力攻擊驚人地有效,尤其是當(dāng)反復(fù)泄漏憑證數(shù)據(jù)庫時。為了阻止這些攻擊,通常只需要將它們減慢到執(zhí)行起來代價太高的程度。

如果登錄嘗試失敗,許多用戶名/密碼表單將發(fā)出HTTP 403禁止?fàn)顟B(tài)代碼或其他可識別的錯誤消息。這可以用作發(fā)快遞速率限制響應(yīng)的非常有效的信號,從而避免對合法用戶的任何潛在副作用。

上述費(fèi)率規(guī)則限制在一分鐘內(nèi)連續(xù)五次失敗登錄嘗試(一小時內(nèi))后的任何IP。

可以根據(jù)需要定制限速響應(yīng),支持基于標(biāo)準(zhǔn)HTML的帶JSON payload或endpoint的API。

所有自助服務(wù)客戶都可以使用費(fèi)率限制作為所有付費(fèi)服務(wù)。


文章推薦
CDN 是什么,cdn是什么東西
Facebook  產(chǎn)品營銷可不是簡單的發(fā)個帖子就好了,facebook需要多長時間注冊用戶達(dá)到一百萬
Facebook海外企業(yè)賬號怎么開通,facebook怎么申請賬號
Facebook廣告投放技巧_2,facebook廣告投放教程視頻


特別聲明:以上文章內(nèi)容僅代表作者本人觀點(diǎn),不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。

搜索 放大鏡
韓國平臺交流群
加入
韓國平臺交流群
掃碼進(jìn)群
歐洲多平臺交流群
加入
歐洲多平臺交流群
掃碼進(jìn)群
美國賣家交流群
加入
美國賣家交流群
掃碼進(jìn)群
ESG跨境專屬福利分享群
加入
ESG跨境專屬福利分享群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
ESG獨(dú)家招商-PHH GROUP賣家交流群
加入
ESG獨(dú)家招商-PHH GROUP賣家交流群
掃碼進(jìn)群
2025跨境電商營銷日歷
《2024年全球消費(fèi)趨勢白皮書——美國篇》
《2024TikTok出海達(dá)人營銷白皮書》
《Coupang自注冊指南》
《eMAG知識百科》
《TikTok官方運(yùn)營干貨合集》
《韓國節(jié)日營銷指南》
《開店大全-全球合集》
《TikTok綜合運(yùn)營手冊》
《TikTok短視頻運(yùn)營手冊》
通過ESG入駐平臺,您將解鎖
綠色通道,更高的入駐成功率
專業(yè)1v1客戶經(jīng)理服務(wù)
運(yùn)營實(shí)操指導(dǎo)
運(yùn)營提效資源福利
平臺官方專屬優(yōu)惠

立即登記,定期獲得更多資訊

訂閱
聯(lián)系顧問

平臺顧問

平臺顧問 平臺顧問

微信掃一掃
馬上聯(lián)系在線顧問

icon icon

小程序

微信小程序

ESG跨境小程序
手機(jī)入駐更便捷

icon icon

返回頂部

【免費(fèi)領(lǐng)取】全球跨境電商運(yùn)營干貨 關(guān)閉
進(jìn)行中
進(jìn)行中
2025跨境電商營銷日歷
包括傳統(tǒng)中、外重要節(jié)日及重點(diǎn)電商營銷節(jié)點(diǎn)還對營銷關(guān)鍵市場、選品輔以說明,讓你的365天安排的明明白白!
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
【平臺干貨】eMAG知識百科
涵蓋從開店到大賣6個板塊:開店、運(yùn)營、廣告、選品、上架、物流
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
TikTok運(yùn)營必備干貨包
包含8個TikTok最新運(yùn)營指南(市場趨勢、運(yùn)營手冊、節(jié)日攻略等),官方出品,專業(yè)全面!
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
韓國coupang平臺自注冊指南
韓國Coupang電商平臺從注冊準(zhǔn)備、提交申請到完成注冊,開店全流程詳細(xì)指引。
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺詳解——全球合集
涵括全球100+個電商平臺的核心信息,包括平臺精煉簡介、競爭優(yōu)勢、熱銷品類、入駐要求以及入駐須知等關(guān)鍵內(nèi)容。
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
韓國電商節(jié)日營銷指南
10+韓國電商重要營銷節(jié)點(diǎn)詳細(xì)解讀;2024各節(jié)日熱度選品助力引爆訂單增長;8大節(jié)日營銷技巧輕松撬動大促流量密碼。
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺詳解——?dú)W洲篇
涵蓋20+歐洲電商平臺,詳細(xì)解讀優(yōu)勢、入駐條件、熱銷品等
立即領(lǐng)取