标签:Web 版本信息 信息 敏感 规则 敏感数据 泄露 页面
防敏感信息泄漏是Web应用防火墙针对网安法提出的“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”所给出的安全防护方案。
前提条件
说明 本文介绍的防敏感信息泄露功能不适用2020年1月发布的新版控制台界面。如果您使用在此日期后开通的Web应用防火墙实例,请参见防敏感信息泄露。- 按量付费开通的Web应用防火墙实例,必须在功能与规格设置中开启网页防篡改、敏感信息防泄露。更多信息,请参见功能与规格配置(按量付费模式)。
- 已完成网站接入。更多信息,请参见业务接入WAF配置。
背景信息
防敏感信息泄漏功能针对网站中存在的敏感信息(尤其是手机号、身份证、信用卡等信息)泄漏、敏感词汇泄露提供脱敏和告警措施,并支持拦截指定的HTTP状态码。
网站中常见的造成信息泄漏的场景包括:- URL未授权访问(例如,网站管理后台未授权访问)。
- 越权查看漏洞(例如,水平越权查看漏洞和垂直越权查看漏洞)。
- 网页中的敏感信息被恶意爬虫爬取。
- 针对网站页面中出现的个人隐私敏感数据进行检测识别,并提供预警和屏蔽敏感信息等防护措施,避免网站经营数据泄露。这些敏感隐私数据包括但不限于身份证号、手机号、银行卡号等。
- 针对有可能暴露网站所使用的Web应用软件、操作系统类型,版本信息等服务器敏感信息,支持一键拦截,避免服务器敏感信息泄露。
- 根据内置的非法敏感关键词库,针对在网站页面中出现的相关非法敏感词,提供告警和非法关键词屏蔽等防护措施。
防敏感信息泄露通过检测响应页面中是否带有身份证号、手机号、银行卡号等敏感信息,发现敏感信息匹配命中后,根据所设置的匹配动作进行告警或者过滤敏感信息。其中,敏感信息过滤动作以*号替换敏感信息部分,从而达到保护敏感信息的效果。
防敏感信息泄露功能支持的Content-Type包括text/*、image/*、application/*等,涵盖Web端、app端和API接口。
操作步骤
- 定位到防敏感信息泄露配置区域,开启状态开关,并单击前去配置。
- 单击新增规则,添加敏感信息防护规则。
说明 在规则设置对话框中,您可以单击并且增加URL匹配条件实现对特定URL进行匹配检测。
- 敏感信息过滤:针对网站页面中可能存在的电话号码和身份证等敏感信息,配置相应的规则对其进行过滤或告警。例如,您可以通过设置以下防护规则,过滤手机号和身份证号敏感信息。
配置该防护规则后,该网站域名中的所有页面中的手机号和身份证号都会自动脱敏,效果如下图所示。
说明 网站页面中的商务合作电话、举报电话等需要对外公开的手机号码,也可能被所配置的手机号敏感信息过滤规则所过滤。
- 状态码拦截:针对特定的HTTP请求状态码,可配置规则将其拦截或者告警,避免服务器敏感信息泄露。例如,您可以通过设置以下防护规则,拦截HTTP 404状态码。
配置该防护规则后,当请求一个该网站域名中不存在的页面时,返回特定拦截页面,效果如下图所示。
- 针对特定URL页面中的敏感信息过滤:针对特定URL页面中存在的电话号码和身份证等敏感信息,配置相应的规则对其进行过滤或告警。例如,您可以通过设置以下防护规则,过滤admin.php页面中的身份证号敏感信息。
配置该防护规则后,仅admin.php页面中的身份证号信息被脱敏。
- 敏感信息过滤:针对网站页面中可能存在的电话号码和身份证等敏感信息,配置相应的规则对其进行过滤或告警。例如,您可以通过设置以下防护规则,过滤手机号和身份证号敏感信息。
- 成功添加规则后,您可以编辑或删除规则。
后续步骤
启用防敏感信息泄露后,您可以登录云盾Web应用防火墙控制台,前往统计 > 安全报表页面查看Web应用攻击报表,查询被防敏感信息泄露规则过滤或拦截的访问请求日志。
标签:Web,版本信息,信息,敏感,规则,敏感数据,泄露,页面 来源: https://www.cnblogs.com/bonelee/p/12499963.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。