商联达|WEB动态防御新里程之动态令牌防御 – 商联达商学院_电商干货

伴随着企业数字化转型快速变革，各类Web应用近年呈现爆发式的增长，Web应用平台已经在电子政务、电子商务等领域得到广泛的应用，以实现协同办公和社会性网络服务等目的。但利益与风险总是并存，WEB攻击像梦魇一样伴随着企业数字化转型，WEB应用的安全已成为影响企业和社会发展的重要问题。

01、WEB动态令牌防御的起源

2011年12月，美国国家科学技术委员会发布《可信网络空间：联邦网络空间安全研发战略规划》，提出动态目标防御(Moving Target Defense,MTD)基于动态化、随机化、多样化思想，改造现有信息系统防御缺陷的理论和方法，其核心思想致力于构建一种动态、异构、不确定的网络空间目标环境来增加攻击者的攻击难度，以系统的随机性和不可预测性来对抗网络攻击。

02、商联达WEB动态令牌防御

动态技术在本质上是针对实体的某种组成部分或者实体呈现形式，在空间、时间上实施变化，商联达动态应用防御系统利用软件动态防御技术、平台动态防御技术、数据动态防御技术、认证动态防御技术等动态技术，帮助企业数字化转型，WEB应用系统安全问题，改变易攻难守的网络攻防不对称局面。安全防御

商联达动态防御系统本身的令牌机制，通过把唯一标识客户端的信息和请求的时间组合在一起，再由特定的算法加密得出；产生的令牌在响应时返回给系统，客户端请求时候就会带着自己的令牌访问服务器资源，每个客户端每次访问请求都有一个的令牌，而且各不相同，不至于轻易让人伪造。动态令牌使用有严格的规定和限制，首先一个合法的请求由真实的客户端浏览器发起，一定会带一个令牌；而自动化攻击不可能拿到引擎发布的动态令牌；通过令牌可以校验访问到底是来源于一个真实的人还是是自动化工具。

03、WEB动态令牌应用场景

WEB动态令牌可应用到Web应用防御中作为一个独立的技术应用到其他防御中，如跨站请求伪造、暴力破解，重放攻击等；依据访问者的合法请求获取令牌，令牌获取后请求时检查令牌的合法性，以此来判断是否为正常的请求，有效防御重放攻击、薅羊毛和刷单等业务欺诈行为，提升WEB应用的动态防御能力。

04、传统WEB应用防护VS动态令牌防御

传统WEB应用防护主要是基于特征规则的防护，对于SQL注入、XSS跨站等有较好的防护效果，但对于薅羊毛、刷单等业务欺诈行为以及暴力破解、撞库、重放攻击等攻击行为无能为力，因为从单次请求来说和正常请求没有什么区别；只能通过策略规则识别和阻拦OWASP Top10 Web安全威胁，误报多，运维工作量大。而对于前面提到的种种攻击行为，动态令牌可以充分发挥自己的用武之地：通过对一次性动态令牌合法性的校验来确保执行正确的业务逻辑，使我们的WEB应用更加安全。

对于企业用户而言，通过商联达Web动态令牌防御既可以应对已知攻击威胁，同时也有多种防护手段应对未知威胁攻击，以极低的资源消耗就能防止人机攻击行为、保障多类型的应用安全，让企业的安全运维成本大幅降低。

目前，商联达Web动态令牌防御已广泛应用在运营商、金融、政府、教育、医院、企业客户中，帮助政企机构真正实现网站/APP/小程序/API的安全防护，有效抗击黑产，降低其安全风险和经济损失。

需要体验功能的客户欢迎随时联系在线客服400-881-0877，或添加客服微信：18116099947 获取免费试用名额！