6月13日凌晨，AcFun弹幕视频网（俗称：A站）发布消息称网站受到黑客攻击，近千万条用户数据外泄，包含用户ID、用户昵称、加密存储的密码等信息。根据A站官网发布的《关于AcFun受黑客攻击致用户数据外泄的公告》，A站曾在2017年7月7日升级了用户账号系统，但如果用户在这个时间之后未登录过网站，或者密码加密强度不够，则账号仍然会存在泄露的风险。

近几年的数据泄露事件层出不穷，从2017年雅虎30亿用户信息泄露、Uber 5700万用户账号被窃取，到2018年新年伊始就爆出的美国国土安全部雇员信息泄密事件，可谓一波又一波，这次连二次元世界也不能幸免。纵观这些数据泄露事件，大部分都指向了信息安全中一个高对抗性的领域：Web应用安全以及背后的数据库安全。

在今年5月份，Verizon公司刚刚发布了《2018 年数据泄露调查报告》，这也是Verizon连续发布的第11份数据泄露调查报告。在今年的报告中，Verizon团队一共分析了53,000起事件和2,216起确认的数据泄露事件，详细分析了数据泄露事件中常用的攻击方式。报告指出，在这些泄露事件中，大部分的攻击都指向了Web应用程序：比如在信息行业，49起泄露事件中有45起通过针对Web应用程序的攻击而达成，占比超过90%。由此可见，Web应用安全已经是数据泄露事件的最前线，大量的渗透、探测、撞库、暴力破解、信息窃取都发生在Web服务器和数据库之前，在大部分企业的业务系统都是基于Web方式构建的今天，我们如何能置身事外呢？

针对Web应用系统的攻击，企业最需要做的是升级已有的安全监控手段，包括是针对Web应用系统、数据库、文件传输行为的监控等等。攻击者会进行登录尝试、扫描，尝试发现Web系统中的已知漏洞，利用SQL注入、代码注入来对系统进行攻击测试，通过目录遍历和路径穿越等手段，寻找系统内部的高价值资产。要发现所有的这些攻击行为，最有效的方法就是通过Web应用防火墙对DMZ区的Web流量进行安全检测和攻击拦截。

山石网科Web应用防火墙（WAF）以山石网科匠心打造的StoneOS为根基，进一步扩展了应用层防御能力，可以针对最新的OWASP十大Web安全风险提供缓解措施，能够对暴力破解攻击、网站挂马、Cookie篡改、Web漏洞利用等应用层威胁进行检测和阻断，阻止黑客向网站后台的渗透。对于Web页面信息的恶意爬取，尤其涉及到网站架构和个人敏感信息部分，山石网科WAF也提供了严密的立体防御措施，包括：

• 恶意行为防护：智能判断正常行为与扫描行为，阻断对网站的恶意扫描；
• 爬虫识别和分类，狙击恶意爬取行为；
• 非法文件下载防护，严禁对受保护文件类型的下载；
• 网站后台信息、个人敏感信息的分类及检测；
• URL和命令级别的访问控制策略，严密防护关键路径，阻止非法访问行为。

即使黑客能够绕过网站安全防护系统，离大规模数据泄露至少还有三步：一是获取后台数据库的高级权限，二是从数据库中导出数据，三是将数据发送出去。从攻破到数据泄露前，山石网科还有数据库防火墙、数据防泄密（DLP）系统两道安全防线。数据库防火墙可以对一般用户的数据库的访问行为、特权用户的操作、数据库读取数据量等进行严格控制，此外还可以进行数据库状态监控与漏洞扫描，提前预判并防御风险。而数据防泄密系统则提供了最后一道防御，即使黑客拿到了数据，其向外发送数据的行为也可以被DLP所检测到，并进一步在网络边界被拦截掉。

综上，针对网站泄露行为，山石网科通过Web应用防火墙、数据库防火墙和数据防泄漏打造的多层防御体系，确保企业核心数据的安全无虞。信息泄露无小事，要避免A站的悲剧重演，赶紧拿起您的电话，联系您身边的山石网科安全专家吧。