記得郭德綱有這么一個著名的段子：家中屋漏，外面下小雨，屋里下大雨；外面下大雨，全家人就只能站到院子里避雨。如果我們把屋子換成傘，外面下雨，傘里也下雨，你還會用這樣的傘嗎？

　　“簡直是笑話，誰會用這樣的傘？”，你可能會這么說。不過，是不是有漏雨的傘，咱先別著急下結論。這凡事都有個體驗和比較。沒有體驗和比較，你就不知道到底什么樣的傘叫好傘。

　　在前兩天阿里云論壇的安全版塊里有這么一個有趣兒的熱帖。在這個帖子里，樓主講了這么一個有趣兒的事兒：“我現(xiàn)在操作2個網(wǎng)站： 一個心理測試大百科www.A.com，部署在阿里云，開通云盾。另 一個是www.B.cn，部署在XX數(shù)碼。 昨天這2個網(wǎng)站后臺都發(fā)現(xiàn)了同樣的警告框。但是只有XX數(shù)碼上的www.B.cn中招了。 2個程序版本一樣，為什么阿里云上的心理測試大百科www.A.com沒中招呢？ ”

　　樓主所謂的“中招”是指在他采用PHPCMS系統(tǒng)的網(wǎng)站后臺多了一個超級管理員用戶－pcmanage。而這個pcmanage超管用戶并非他自己添加，而是被別人偷偷地加上去的。

　　好個從石頭縫里蹦出來的孫悟空。開過網(wǎng)站的小伙伴想必都應該非常清楚事情的嚴重性了。PHPCMS系統(tǒng)的“超級管理員”就像它的命名一樣，擁有對網(wǎng)站系統(tǒng)的一切權限。如果黑客擁有了攻擊目標網(wǎng)站的超級管理員賬號，后果可想而知。

　　那么，黑客是如何偷偷添加超級管理員賬號的呢？簡言之，黑客利用PHPCMS系統(tǒng)的0day漏洞，竊取了網(wǎng)站專門用來防護跨站攻擊的Token，通過劫持管理員的HTTP會話，在管理員絲毫沒有察覺的情況下，利用管理員的身份成功添加了超級管理員賬戶——一個無所不能的孫悟空。

　　有些拗口，別急，下面我們詳細說說黑客是怎么攻擊的。經(jīng)過阿里云安全技術團隊的分析，黑客當時是利用了PHPCMS系統(tǒng)存在的一個漏洞發(fā)起了CSRF攻擊，最終添加了超管賬號。

　　CSRF（Cross-site request forgery），中文名稱跨站請求偽造，是在用戶會話下通過第三方網(wǎng)站發(fā)起GET/POST的請求——這些請求用戶未必知道和愿意做，可以把它視作一種HTTP會話劫持。下圖是典型的CSRF攻擊過程：

　　圖1: CSRF典型攻擊過程

　　從上圖可以看出，A網(wǎng)站通過cookie來識別用戶（C），當用戶成功進行身份驗證之后瀏覽器就會得到一個標識其身份的cookie，只要不關閉瀏覽器或者退出登錄，以后訪問A網(wǎng)站會一直帶上這個cookie。如果這期間瀏覽器被人控制著向A網(wǎng)站發(fā)起請求去執(zhí)行一些用戶不想做的功能（比如添加賬號），這就是會話劫持了。因為這個不是用戶真正想發(fā)出的請求，這就是所謂的“請求偽造”。此外，由于請求可以從第三方網(wǎng)站提交，所以前綴跨站二字，即從B網(wǎng)站發(fā)起。

　　PHPCMS系統(tǒng)對于CSRF的防護主要是通過在會話中加入令牌（Token）方式來實現(xiàn)，黑客恰恰是利用了0day漏洞在偷竊了Token后，發(fā)起了CSRF攻擊并劫持了管理員的身份。

　　面對這樣一個0day漏洞攻擊，阿里云云盾如何實現(xiàn)有效防護的呢？眾所周知，0day漏洞是沒有補丁的，客觀地講，在防護的時候也無法采用針對性的防護手段。然而，阿里云云盾多層面縱深化防護體系對于未知攻擊同樣可以做到有效防護。

　　云盾在網(wǎng)絡、系統(tǒng)以及應用上均有相應的防護策略，這些防護策略對于網(wǎng)站來說，就像一層層的防護網(wǎng)。更為關鍵的是，這些“防護網(wǎng)”是一體化的，是一個整體，并非彼此孤立。無論在網(wǎng)絡流量攻擊、還是系統(tǒng)入侵或是應用破壞上，黑客只要在入侵過程中觸發(fā)任何一個防護點的策略，均會引發(fā)云盾整體的迅速響應。在上面的攻擊過程中，由于黑客采取了“組合化”進攻手段，觸發(fā)了云盾對某單項攻擊手段的防護策略，從而導致整個攻擊過程戛然而止。

　　既有點，也有面，點面結合，這正是云盾強大的地方。這種點面結合的整體防護體系考驗的是多個安全子系統(tǒng)能否實現(xiàn)彼此無縫配合、策略分布式部署以及面向攻擊的整體化視野。這樣的防護體系不是簡單部署一個DDoS防護系統(tǒng)、入侵防御系統(tǒng)或WAF系統(tǒng)就可以實現(xiàn)。

　　傳統(tǒng)IDC數(shù)據(jù)中心普遍采取糖葫蘆串式的防護手段，在服務器前部署一長串的防護設備，這些防護設備之間是獨立工作，沒有彼此關聯(lián)關系。這種安全防護模型無疑增加了防御一方的建設和運營管理成本，而面對0day或者更為復雜攻擊的時候卻往往束手無策。

　　事實上，強大的云盾也不是一朝鍛造而成，而是得益于阿里安全部十年攻防積累的數(shù)據(jù)和經(jīng)驗。其全面的DDoS防護、主機入侵防護、Web防護墻以及貼心而全面的網(wǎng)站安全體檢服務，也是幾十萬網(wǎng)站站長選擇阿里云的重要原因。

　　最后，再回到文章開始時候提到的雨傘。這傘好不好，最關鍵還是要看漏不漏雨；而漏雨不漏雨，只有用過的人才知道。