Kontrol risiko data melindungi titik akhir website bernilai tinggi—seperti registrasi, login, kampanye, dan forum—dari penipuan berbasis bot yang melewati deteksi berbasis laju. Dibangun di atas teknologi data besar Alibaba Cloud, fitur ini menggunakan mesin keputusan risiko dan verifikasi CAPTCHA untuk membedakan pengguna manusia dari skrip otomatis, tanpa memerlukan konfigurasi server atau klien selain menambahkan website Anda ke Web Application Firewall (WAF).
Fitur konfigurasi spesifik skenario WAF kini mencakup perlindungan anti-crawler dengan kontrol yang lebih granular. Setelah Anda mengonfigurasi aturan anti-crawler, kontrol risiko data tidak lagi diperlukan untuk perlindungan crawler. Alibaba Cloud tidak lagi menyediakan pembaruan atau pemeliharaan untuk kontrol risiko data. Untuk penerapan baru yang menargetkan ancaman crawler, gunakan konfigurasi spesifik skenario sebagai gantinya.
Kasus penggunaan
Kontrol risiko data cocok untuk serangan berbasis bot di mana laju permintaan tampak normal dan perlindungan flood HTTP tidak dapat membedakan lalu lintas berbahaya dari lalu lintas sah:
Registrasi pengguna spam
Serangan flood SMS
Serangan credential stuffing
Serangan brute-force
Bot pembelian otomatis
Penyalahgunaan promosi
Bot snatcher
Manipulasi suara
Spam
Cara kerja
WAF menyisipkan plug-in JavaScript ke halaman web Anda untuk mengumpulkan sinyal perilaku dan lingkungan sejak pengguna pertama kali mengunjungi situs hingga mereka mengirimkan permintaan. Saat permintaan mencapai URL yang dilindungi:
Jika sinyal perilaku menunjukkan pengguna normal, permintaan diteruskan tanpa gangguan.
Jika sinyal mencurigakan atau IP sumber memiliki riwayat aktivitas berbahaya, verifikasi slider CAPTCHA dipicu.
Jika skrip mensimulasikan interaksi slider, metode verifikasi tambahan diterapkan hingga pengguna lolos atau permintaan diblokir.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Instans WAF yang dikerahkan di Konsol WAF Chinese mainland dengan modul Manajemen bot diaktifkan
Mengaktifkan instans Web Application Firewall yang memenuhi persyaratan berikut:
Instans berada di wilayah Chinese Mainland.
Modul Bot Management diaktifkan.
Menambahkan website Anda ke WAF (lihat Panduan cepat: Tambahkan website pertama Anda)
Batasan
Kontrol risiko data hanya berfungsi di lingkungan halaman web dan HTML5. Plug-in JavaScript mungkin tidak kompatibel dengan jenis halaman berikut, sehingga menyebabkan error pada slider CAPTCHA:
| Jenis halaman | Contoh | Workaround |
|---|---|---|
Halaman statis yang dimuat melalui navigasi URL, redirect location.href, window.open, atau tag jangkar <a> | Halaman detail HTML, halaman yang dibagikan, beranda, dokumen | Batasi penyisipan plug-in JavaScript hanya pada halaman yang kompatibel (lihat Tentukan halaman untuk penyisipan plug-in JavaScript) |
| Halaman yang menulis ulang atau mengintersepsi permintaan | Pengiriman formulir kustom, penulisan ulang XMLHttpRequest (XHR), permintaan Ajax kustom | Sama seperti di atas |
| Halaman yang menggunakan webhook | Setiap halaman tempat kode webhook dijalankan | Sama seperti di atas |
Membatasi penyisipan plug-in hanya pada halaman tertentu mengurangi cakupan data perilaku dan dapat menurunkan efektivitas deteksi.
Untuk perlindungan aplikasi native, gunakan Anti-Bot SDK sebagai gantinya. Lihat Konfigurasikan perlindungan aplikasi.
Aktifkan kontrol risiko data
Login ke Konsol WAF. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat instans WAF Anda diterapkan (Chinese Mainland atau Outside Chinese Mainland).
Di panel navigasi kiri, pilih Protection Configurations > Website Protection.
Di bagian atas halaman Website Protection, pilih nama domain Anda dari daftar drop-down Switch Domain Name.
Di tab Bot Management, temukan bagian Data Risk Control dan klik Configure Now.
Aktifkan toggle Status.
Setelah kontrol risiko data diaktifkan, WAF menyisipkan plug-in JavaScript ke halaman web tertentu atau semua halaman. Data pada halaman web dikembalikan kepada pengguna sebagai file terkompresi yang tidak dalam format GZIP. Tidak diperlukan konfigurasi tambahan, terlepas dari apakah website Anda menggunakan port non-standar.
Tetapkan Mode. Mulailah dengan Warn untuk mengamati trafik tanpa memblokir, lalu beralih ke mode yang lebih ketat setelah meninjau log.
Toggle Status harus diaktifkan sebelum Anda dapat mengonfigurasi Mode atau aturan perlindungan.
Mode Perilaku Warn (default) Meneruskan semua permintaan. Mencatat aktivitas mencurigakan untuk ditinjau dalam laporan risiko. Plug-in JavaScript tetap disisipkan ke halaman statis untuk mengumpulkan data perilaku. Block Memerlukan otentikasi multi-faktor saat serangan terdeteksi. Strict Interception Memerlukan otentikasi multi-faktor ketat saat serangan terdeteksi.
Tambahkan URL yang dilindungi
URL yang dilindungi adalah endpoint tempat operasi layanan dikirimkan—bukan URL halaman yang dilihat pengguna di browser mereka.
Contoh: Halaman registrasi di www.aliyundoc.com/new_user mungkin memanggil dua endpoint backend: www.aliyundoc.com/getsmscode (untuk meminta kode verifikasi) dan www.aliyundoc.com/register.do (untuk mengirimkan registrasi). Tambahkan kedua endpoint ini sebagai URL yang dilindungi. Jika Anda menambahkan URL halaman www.aliyundoc.com/new_user sebagai gantinya, setiap pengguna yang mengunjungi halaman registrasi harus melewati verifikasi slider CAPTCHA sebelum mengisi formulir—mengganggu pengalaman pengguna normal.
Aturan pencocokan URL:
| Aturan | Perilaku |
|---|---|
| Exact match | www.aliyundoc.com/test hanya melindungi path tersebut, bukan subdirektorinya. |
| Directory wildcard | www.aliyundoc.com/book/* melindungi semua path di bawah /book. |
Hindari www.aliyundoc.com/* | Ini memaksa setiap pengunjung melewati CAPTCHA sebelum mencapai beranda. |
| Endpoint API saja | Kontrol risiko data tidak berlaku untuk endpoint API murni yang dipanggil oleh proses mesin. Jika pengguna mengklik tombol yang memicu panggilan API, verifikasi berfungsi sebagaimana mestinya. |
Untuk menambahkan URL yang dilindungi:
Di halaman Data Risk Control, klik tab Protected URL lalu klik Add Protected URL.
Di kotak dialog Add Protected URL, masukkan URL endpoint di bidang Protection Request URL.
Klik OK.
URL baru berlaku dalam waktu sekitar 10 menit. Setelah muncul di daftar URL, Anda dapat memodifikasi atau menghapusnya sesuai kebutuhan.
Tentukan halaman untuk penyisipan plug-in JavaScript
Secara default, WAF menyisipkan plug-in JavaScript ke semua halaman website Anda. Jika halaman tertentu tidak kompatibel dengan plug-in, batasi penyisipan hanya pada halaman yang kompatibel.
Di halaman Data Risk Control, klik tab Pages to Which JavaScript Plug-in are Inserted.
Pilih Insert JavaScript Plug-in into Specific Pages dan klik Add Webpage.
Di kotak dialog Add URL, masukkan path URL (masing-masing harus diawali dengan
/) dan klik OK. Anda dapat menambahkan hingga 20 path URL.
Setelah Anda menambahkan path tersebut, plug-in JavaScript akan disisipkan ke semua halaman di bawah path tersebut.
Membatasi penyisipan plug-in hanya pada halaman tertentu berarti kontrol risiko data tidak dapat mengamati perjalanan pengguna secara lengkap, yang dapat mengurangi akurasi deteksi.
Konfigurasikan daftar putih
Untuk mengecualikan permintaan tertentu dari pemeriksaan kontrol risiko data, konfigurasikan daftar putih untuk modul bot management. Lihat Konfigurasikan daftar putih untuk Bot Management.
Lihat hasil perlindungan
Setelah mengaktifkan pengumpulan log untuk domain Anda, buka tab Log Query dan pilih Anti-Fraud di bagian Advanced Search untuk melihat hasil kontrol risiko data. Lihat Kueri dan analisis log.
Contoh: lindungi endpoint registrasi
Sebuah website di www.aliyundoc.com memungkinkan pengguna mendaftar di www.aliyundoc.com/register.html. Penyerang menggunakan skrip untuk mengirim permintaan registrasi dengan laju normal, membuat akun untuk berpartisipasi dalam undian hadiah. Karena laju permintaan tampak normal, perlindungan flood HTTP tidak menandai permintaan ini.
Konfigurasi: Tambahkan www.aliyundoc.com/register.html sebagai URL yang dilindungi.
Cara kerja perlindungan setelah konfigurasi:
Plug-in JavaScript disisipkan ke semua halaman
www.aliyundoc.com, mengumpulkan sinyal perilaku sejak pengguna pertama kali tiba di situs.Saat pengguna mengirim permintaan registrasi ke
/register.html, WAF mengevaluasi data perilaku dan lingkungan yang dikumpulkan sepanjang sesi tersebut.Pengguna yang menavigasi situs secara normal dan mengisi formulir lolos tanpa gangguan.
Skrip yang langsung menuju
/register.htmldan mengirim permintaan ditandai mencurigakan dan diberikan verifikasi slider CAPTCHA.Jika skrip mensimulasikan interaksi slider, verifikasi tambahan diterapkan. Jika gagal, permintaan diblokir.
Langkah selanjutnya
Sebelum beralih ke mode Block atau Strict Interception, aktifkan mode Warn dan tinjau log menggunakan Simple Log Service for WAF untuk menjalankan uji kompatibilitas.
Untuk melindungi aplikasi native, konfigurasikan Anti-Bot SDK. Lihat Konfigurasikan perlindungan aplikasi.
Untuk menggantikan kontrol risiko data dalam perlindungan crawler, siapkan konfigurasi spesifik skenario. Lihat Ikhtisar konfigurasi spesifik skenario.