功能简介
风险事件功能支持对 API 风险事件进行查看、分析、处置,结合专家建议分级分类收敛风险,持续运营防护策略。目前已支持以下风险事件检测:
事件类型 | 事件说明 |
来自异常地区的接口调用 | 日常访问该接口的请求集中在某地域,发现来自其他地域的请求大量调用了该接口,疑似异常调用。 |
来自异常源 IP 的接口调用 | 日常访问该接口的 IP 集中在某网段,发现大量异常 IP 段调用了该接口,疑似异常调用。 |
来自异常终端的接口调用 | 日常访问该接口的客户端主要是某类型,发现有大量请求通过其他类型客户端调用了该接口,疑似异常调用。 |
事件类型 | 事件说明 |
Web 攻击 | 接口频繁遭受 SQL 注入攻击、XSS 攻击、命令注入攻击、核心文件非法访问、文件上传攻击、恶意扫描、木马后门攻击、XML 注入攻击、Web 应用漏洞攻击、LDAP 注入攻击、服务器端请求伪造、服务端模板注入漏洞、未授权访问漏洞、不合规协议等十余种类型 Web 攻击。 |
事件类型 | 事件说明 |
未授权访问成功 | 接口存在疑似未授权访问的情况。即存在用户在没有任何授权的情况下对需要认证的资源进行访问以及增删改查。 |
垂直越权 | 接口存在疑似垂直越权访问的情况。这种类型的越权发生在用户试图提升自己的权限级别,以访问或操作高于其当前权限级别的资源或数据时。 |
水平越权 | 接口存在疑似水平越权访问的情况。这种类型的越权发生在用户试图访问与其同一权限级别的其他用户的资源或数据时。 |
缺失用户和密码 | 请求缺少必要的用户和密码信息,可能是攻击者在对业务进行攻击性尝试,如 Fuzzing(模糊测试)等。 |
缺失用户值 | 请求缺少必要的用户信息,例如用户 ID、用户名等,可能是攻击者在对业务进行攻击性尝试,如 Fuzzing(模糊测试)等。 |
缺失登录动作 | 请求缺少必要的登录动作,例如登录请求中缺少登录动作参数,可能是攻击者在对业务进行攻击性尝试,如 Fuzzing(模糊测试)等。 |
事件类型 | 事件说明 |
暴力破解 | 攻击者使用自动化工具对目标系统的密码进行暴力破解的行为。攻击者通常会使用字典攻击或暴力破解工具来尝试多个密码组合,直到找到正确的密码为止。 |
撞库攻击 | 攻击者使用已知的用户名和密码组合对目标系统进行登录尝试的行为,通常是通过泄露的用户信息进行攻击。攻击者通常会使用泄露的用户名和密码组合来尝试登录到其他网站或系统,以查看是否可以访问目标系统。 |
恶意注册 | 这意味着攻击者使用虚假或者盗用的用户信息进行注册的行为,通常是为了进行其他恶意行为,如垃圾邮件发送等。 |
事件类型 | 事件说明 |
接口滥用 | 用户或者攻击者对接口进行频繁的请求,超出了正常的使用范围,可能会对系统造成负担或者安全风险。攻击者通常会使用自动化工具来发送大量的请求,以尝试消耗系统资源或者进行其他恶意行为。 |
刷短信接口 | 攻击者使用自动化工具对短信接口进行频繁的请求,通常是为了进行短信轰炸、消耗短信资源等恶意行为。 |
刷验证码接口 | 攻击者使用自动化工具对验证码接口进行频繁的请求,通常是为了进行验证码绕过,验证码资源消耗等恶意行为。 |
事件类型 | 事件说明 |
过多的敏感数据获取 | 用户或者攻击者通过调用该接口获取了大量的敏感数据,可能导致敏感数据泄露和内部信息不安全。 |
未授权访问获取敏感信息 | 用户或者攻击者在未经授权的情况下访问到系统内的敏感数据,导致敏感数据泄露和内部信息不安全。 |
弱加密传输 | 请求体中传输的密码、密钥等敏感内容仅使用了 Base64、Hex(十六进制)等可逆的编码方式,或使用了强度不足的加密算法(如 DES、RC4),而非符合安全标准的加密方式(如 AES、RSA)。攻击者极易解码或破解这些内容,导致敏感信息泄露。 |
事件类型 | 事件说明 |
接口返回异常报错信息 | 接口返回了未处理的报错信息,如堆栈跟踪、框架默认报错等。此类信息可能暴露代码逻辑、依赖库版本或服务器配置,帮助攻击者精准定位漏洞。 |
接口返回服务器敏感信息 | 接口返回了服务器敏感数据,如服务器路径、密钥文件、云服务 AK/SK 等敏感信息。这些数据可能被用于横向渗透、权限提升或直接入侵生产环境,需立即阻断并修复泄漏源。 |
接口返回数据库报错信息 | 接口返回了数据库相关的错误信息。可能暴露表结构、SQL 语句或数据库类型,攻击者可利用其构造 SQL 注入或针对性攻击。 |
接口响应状态异常 | 接口连续返回服务端异常响应状态。此类行为可能是恶意压测、资源耗尽攻击或源站故障,需排查是否涉及 DDoS 或应用层漏洞利用。 |
前提条件
1. 已购买 WAF 包年包月实例,并开通 API 安全。
3. 已在 接入管理页面 开启对应域名的 API 安全开关。开启后预计30分钟完成分析,之后将展示相关统计数据。

事件列表
1. 登录 Web 应用防火墙控制台,在左侧导航栏中选择 API 安全 > 风险事件。
2. 单击风险事件页面左上角域名下拉框,选择要查看的域名;也可选择全部域名。
3. 在风险事件页面事件概览区域,展示事件总数、今日新增、新发现、已处置、处置中、已忽略、已关闭事件,每个指标均显示当前数值及较昨日变化值。

字段名称 | 说明 |
事件总数 | 当前域名下风险事件总数。 |
今日新增 | 当前域名下今日新增风险事件总数。 |
新发现 | 当前域名下新发现状态的风险事件总数。 |
已处置 | 当前域名下已处置状态的风险事件总数。 |
处置中 | 当前域名下处置中状态的风险事件总数。 |
已忽略 | 当前域名下已忽略状态的风险事件总数。 |
已关闭 | 当前域名下已关闭状态的风险事件总数。 |
4. 在风险事件页面,可以检索指定的时间范围内的风险事件数据,时间范围支持选择今天、昨天、近一周或自定义日期范围。
5. 在风险事件页面,左侧为事件分类树,按事件类型分类展示所有风险事件。
事件分类树包含全部事件类型,以及业务异常、Web 攻击、权限异常、账号异常、资源滥用、涉敏异常、响应异常等异常大类及其下属的具体小类。
事件分类树中数字标注该分类下的事件数量。
单击事件分类树中的节点,右侧列表展示对应的风险事件。
6. 在事件列表区域,支持查看数据列表、搜索、自定义列表导出、批量操作、变更状态及查看详情。
事件数据列表:可查看当前域名在选中时间范围内的风险事件列表。
字段名称 | 说明 |
事件 ID | 风险事件名称。 |
事件类型 | 风险事件类型。 |
事件等级 | 风险事件风险等级。 |
所属域名 | 风险事件所属域名。 |
关联 API | 风险事件所关联的 API 名称。 |
处置状态 | 风险事件当前的事件状态。 新发现:新发现且尚未确认的风险事件。 处置中:正在确认风险并配置相关规则的风险事件。该状态中有针对该事件类型的处理建议(CC/访问控制/BOT 等),可一键添加相应规则。 已确认:已确认风险并添加处置规则的风险事件。 已忽略:确认不需处置,忽略该风险事件。 已关闭:观察访问流量及攻击流量情况,确认该事件可以彻底关闭。 |
发现时间 | 该风险事件最早发现时间。 |
最近更新时间 | 该风险事件最近更新时间。 |
操作 | 处置事件和查看详情。 |
搜索事件:可根据请求方式、 API 名称和所属域名进行搜索。
自定义列表导出:单击
,选择所需字段,单击导出可对数据列表进行下载。

批量操作:支持批量选择事件,进行批量置顶、批量忽略、批量删除操作。
添加规则:选择处置事件 > 一键添加规则,系统会根据不同的事件类型,提供对应的处置建议,可单击一键添加规则添加相应处置规则。处置规则相关操作参数说明详见 自定义策略。
变更状态:选择处置事件 > 事件状态变更,选择要变更的状态,单击提交,即可变更当前风险事件状态。
查看详情:单击查看详情,即可查看当前风险事件的事件详情。
字段名称 | 说明 |
基本信息 | 主要包括事件 ID、事件类型、发生时间、更新时间、关联 API、关联域名以及事件详情等。 |
处理建议 | 根据不同的事件类型,提供对应的事件处置建议,可单击一键添加相应处置规则。 |
已添加规则 | 已添加规则情况。 |
变更历史 | 事件状态变更历史情况。 |
攻击源详情 | 事件攻击源详情。 |
事件告警
1. 登录 Web 应用防火墙控制台,在左侧导航栏中选择系统设置 。
2. 在系统设置页面,开启事件告警或单击设置,即可变更事件告警开关。
告警开关:单击
开启开关,默认开关为开启状态,开启后将每天/每小时汇总事件管理功能中新发现的风险事件并通过站内信等渠道推送通知,已知风险事件不会重复发送通知。

设置:支持自定义告警类型和告警频率。
告警类型:支持选择 BOT 事件及 风险事件,勾选不同风险等级的事件进行告警,建议全部勾选。
告警事件:支持选择每天汇总告警或每小时汇总告警,默认为每天上午10点告警。
每天汇总:支持设置每日告警的通知时间,每天仅在指定时间汇总所有新增事件告警一次。
每小时汇总:支持设置需要通知的时间范围,在指定时间范围内每小时整点推送一次告警,非设置时间点或时间范围内不进行通知。
接收渠道及接收人设置:如需修改消息接收人或接收方式,请前往 消息中心 ,选择 Web 应用防火墙产品消息进行设置。