《云盾为视频系统筑建安全堡垒(18页).pdf》由会员分享,可在线阅读,更多相关《云盾为视频系统筑建安全堡垒(18页).pdf(18页珍藏版)》请在三个皮匠报告上搜索。
1、宽夫阿里云安全事业部架构师云盾为视频系统筑建安全堡垒1.视频行业安全诉求2.下注云盾,启动安全护航3.共建直播行业安全标准目 录content在安全的世界里,企业可简单分为两种已经被黑了&不知道已经被黑了地下黑产,风生水起买5G的DDoS攻击=2杯星巴克WEB攻击小白化1快速爆发期,流量安全隐患直播网站(PC+移动)+房间服务api+聊天/弹幕消息api注册、登录、找回密码接口漏洞,粉丝漏洞售卖新注册用户,恶意调用粉丝接口,获得vip权限APP端的破解,核心源码泄露使用模拟器注册客户端,造成运营数据不准及接口乱刷234运营数据泄露,公司资产损失服务器及数据库权限暴力破解5直播内容违规大量截帧的
2、图片涉黄、涉恐识别1.视频行业安全诉求2.下注云盾,启动安全护航3.共建直播行业安全标准目 录contentWeb应用防火墙安骑士态势感知DDOS高防IP移动安全DDOS高防IP服务以下站点四层攻击PC/手机域名:www.*.com下载域名:live.*.com直播房间域名:live*.in*.com支付接口接口:pay.*.in*.com自开通服务以来,成功抵御187次DDOS攻击,抵御2,703次CC攻击。黑客采用常见web攻击如跨站脚本、代码执行、sql注入等,对映客房间服务、支付接口服务进行渗透攻击,web应用防火墙成功防御8,078,807次通过直播泛域名业务漏洞挖掘,累计收集漏洞数
3、上百个。业务漏洞:账户越权漏洞(账户越权进入VIP直播房、越权发送VIP等级礼物、越权查看他人亲密粉丝)、业务逻辑漏洞(SQL注入引发主播数据泄露)运维漏洞:云笔记严重泄露大量核心信息、核心服务器通用密码漏洞、git密码泄露引发核心服务器被入侵通过多渠道加固apk,完成600+渠道app核心源码so和dex加固,限制了恶意用户进行反编译符合2016年8月国家出台移动互联网应用程序信息服务管理规定,要求APP上架前必须进行安全测试滑动验证风险识别风险用户查询数据风控注册场景:建议使用滑动验证码,防止垃圾注册和短信攻击登陆场景:建议使用风险识别和滑动验证,防止刷库撞库营销活动场景:建议使用风险识别,防止活动作弊和刷奖励业务量:某客户直播路1万路,每5S截一帧图片,日图片量3000万;解决方案:第一层:自有系统过滤(使用md5进行过滤,如果命中黑样本直接删除)第二层:使用绿网过滤;第三层:人工审核,发现问题在回拉视频判断1.视频行业安全诉求2.下注云盾,启动安全护航3.共建直播行业安全标准目 录content解决视频客户等保合规为了便于阿里云云上系统能够快速满足等保合规的要求,阿里云通过建立“等保合规生态”,联合阿里云合作伙伴咨询厂商、各地测评机构和公安机关,提供一站式、全流程等保合规解决方案。等保合规生态运营单位咨询厂商测评机构公安机关阿里云