API態(tài)勢分析分析析案例分享1011產(chǎn)管理11敏感信息監(jiān)測11缺陷識(shí)別11攻擊檢測1112APIAPI安全發(fā)展趨勢15API16API化16API為云應(yīng)用安全的重要組成17成為API安全的要素17防護(hù)建議防護(hù)建議18附錄21API集26應(yīng)用程序接口(ApplicationProgrammingInterface，API)是一API在應(yīng)用架構(gòu)上實(shí)現(xiàn)了軟件的模塊化、可重用、可擴(kuò)展能力，已經(jīng)成為應(yīng)用系統(tǒng)中使用廣泛的核心支撐技術(shù)之一。APP、小程源為瑞數(shù)信息防護(hù)案例及第三方公開數(shù)據(jù)采樣，數(shù)據(jù)僅供參考。PIsPIsPIsPIs物聯(lián)網(wǎng)設(shè)備猛增PIs邊界不復(fù)存在PIs企業(yè)內(nèi)部訪問PIsPIsPIsPIs物聯(lián)網(wǎng)設(shè)備猛增PIs邊界不復(fù)存在PIs企業(yè)內(nèi)部訪問PIsAPIsPIsPIb到2024年，API濫用和相關(guān)數(shù)據(jù)泄露將幾乎翻倍”。中國信通院也在《應(yīng)用程序接口(API)數(shù)據(jù)安全研究I02030203API攻擊持續(xù)走高I4瑞數(shù)信息技術(shù)(上海)有限公司瑞數(shù)信息技術(shù)(上海)有限公司5APIAPI分析API和小程序逐漸成為了很多企業(yè)和組織的流量入口，針對(duì)傳統(tǒng)Web攻擊30%針對(duì)APl攻擊70%攻擊態(tài)勢沒有因此而停止，反而增多。01月2月3月4月5月6月 7月8月9月10月11月12月6瑞數(shù)信息技術(shù)(上海)有限公司77·接口分散和傳輸格式多樣性導(dǎo)致接口難以發(fā)現(xiàn)API式的多樣性(JSON、XML、GraphQL等)也增·業(yè)務(wù)緊耦合防護(hù)策略難以通用s·合法授權(quán)下的濫用風(fēng)險(xiǎn)難以識(shí)別PIAPI瑞數(shù)信息技術(shù)(上海)有限公司傳統(tǒng)web漏洞允許弱口令短信接口濫用未鑒權(quán)接口誤暴露明文密碼傳輸參數(shù)可篡改越權(quán)訪問過度數(shù)據(jù)暴露參數(shù)可遍歷傳統(tǒng)web漏洞允許弱口令短信接口濫用未鑒權(quán)接口誤暴露明文密碼傳輸參數(shù)可篡改越權(quán)訪問過度數(shù)據(jù)暴露參數(shù)可遍歷其他9%交通3%醫(yī)療3%互聯(lián)網(wǎng)27%教育4%能源4%政府10%金融21%運(yùn)金融21%API請(qǐng)求流量行業(yè)分布8瑞數(shù)信息技術(shù)(上海)有限公司找回密碼文件下載投票評(píng)價(jià)業(yè)務(wù)辦理短信個(gè)人信息查詢公開數(shù)據(jù)查詢登錄注冊(cè)傳統(tǒng)Web攻擊越權(quán)訪問信息遍歷參數(shù)篡改密碼破解亂序攻擊憑證盜用ssRF短信轟炸路徑探測找回密碼文件下載投票評(píng)價(jià)業(yè)務(wù)辦理短信個(gè)人信息查詢公開數(shù)據(jù)查詢登錄注冊(cè)傳統(tǒng)Web攻擊越權(quán)訪問信息遍歷參數(shù)篡改密碼破解亂序攻擊憑證盜用ssRF短信轟炸路徑探測瑞數(shù)信息技術(shù)(上海)有限公司9 10瑞數(shù)信息技術(shù)(上海)有限公司資產(chǎn)管理APIAPIAPIAPI。API資產(chǎn)敏感信息監(jiān)測息傳輸變得可見。缺陷識(shí)別瑞數(shù)信息技術(shù)(上海)有限公司11·資產(chǎn)管理 12瑞數(shù)信息技術(shù)(上海)有限公司·敏感數(shù)據(jù)傳輸監(jiān)測型包括身份證號(hào)、手機(jī)號(hào)、郵箱、銀行卡等信息。梳理出了存在明文傳輸敏感數(shù)據(jù)的業(yè)務(wù)系統(tǒng)、接口路徑、瑞數(shù)信息技術(shù)(上海)有限公司13·缺陷識(shí)別·攻擊檢測QLPI 14瑞數(shù)信息技術(shù)(上海)有限公司07自動(dòng)化攻擊加劇API安全風(fēng)險(xiǎn)07自動(dòng)化攻擊加劇API安全風(fēng)險(xiǎn)02API安全管理更加智能化03API安全成為云應(yīng)用安全的重要組成04合規(guī)要求成為API安全的要素API安全發(fā)展趨勢瑞數(shù)信息技術(shù)(上海)有限公司150707PIIAPI安全意識(shí)薄弱的從業(yè)人員，需要更加全面、智能的管理方式和管理策略。充分利無論是ToC還是ToB，會(huì)有越來越多的業(yè)務(wù)依靠API來辦理，越來越多的信息通過API來傳輸，因此，無論是內(nèi)部服務(wù)器之間的API數(shù)量，還是對(duì)外開放的API數(shù)量都會(huì)井噴式地增長。同時(shí)，伴隨人工智能技術(shù)的發(fā)展，自動(dòng)化攻擊的門檻進(jìn)一步降低，攻擊者可以利用機(jī)器學(xué)習(xí)算法快速生成自動(dòng)化攻擊腳本，經(jīng)過簡單修改，即可發(fā)起攻擊行為，自動(dòng)化工具可以短時(shí)間內(nèi)迅速掃描大量的API接口，利用接口返回信息分析判斷API是否存在缺陷，一旦發(fā)現(xiàn)可利用的缺陷便記錄下來并為下一步攻擊利用該缺陷做準(zhǔn)備；由于自動(dòng)化攻擊腳本的便利性，通過一臺(tái)設(shè)備可以對(duì)多個(gè)目標(biāo)API發(fā)起大范圍的大量攻擊試探行為，從而獲得更多的攻擊信息；自動(dòng)化工具在提升工作效率的同時(shí)，也加大了被惡意利用的可能，一旦自動(dòng)化工具被濫用，類似DDoS攻擊和CC攻擊不可避免地夾雜在正常的用戶訪問中。加劇了API被攻擊的風(fēng)險(xiǎn)。因此，未來企業(yè)在應(yīng)對(duì)業(yè)務(wù)形態(tài)變化的同時(shí)，亟需針對(duì)自動(dòng)化攻擊的防御策略002 16瑞數(shù)信息技術(shù)(上海)有限公司APIAPI來的是導(dǎo)致傳統(tǒng)邊界安全防御策略的失效。針對(duì)云端API的安全防護(hù)思路、防御使用、加工、傳輸、提供、公開等各個(gè)環(huán)節(jié)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)的監(jiān)測、評(píng)估和防護(hù)等，也需要用到權(quán)限管控、數(shù)據(jù)脫敏、數(shù)據(jù)加密、審計(jì)溯源等多種技術(shù)手段。數(shù)據(jù)隱私和安全法規(guī)的不斷嚴(yán)格，作為信息重要載體的API及其安全將會(huì)更加側(cè)重監(jiān)管和合規(guī)性要求。未來針對(duì)API安全細(xì)分領(lǐng)域的解決方案預(yù)計(jì)將更加貼00E00b瑞數(shù)信息技術(shù)(上海)有限公司17 18瑞數(shù)信息技術(shù)(上海)有限公司，瑞數(shù)信息技術(shù)(上海)有限公司192020瑞數(shù)信息技術(shù)(上海)有限公司OWASPAPISecurity·OWASPTOP10是什么OWASPTOP10是由OWASP發(fā)布的常見Web應(yīng)用程序安全風(fēng)險(xiǎn)列表。該列表列出了當(dāng)前最普遍、最·OWASPAPISecurityTOP10是什么API的更新?！?019VS2023變化對(duì)比年的列表中看到了對(duì)傳統(tǒng)安全措施的挑戰(zhàn)，以及對(duì)新興技術(shù)如raphQLgRPCAPI因此對(duì)防御措施產(chǎn)生了更強(qiáng)烈的需術(shù)不斷演進(jìn)和攻擊者利用策略的變化，API安全環(huán)境也在持續(xù)變化。這意味著開發(fā)者、企業(yè)和安全專業(yè)IAPI瑞數(shù)信息技術(shù)(上海)有限公司21·API1對(duì)象級(jí)別授權(quán)失效(無變化)問·API2認(rèn)證失效(更新)圍更廣和更全。API2:2019中用戶認(rèn)證失效指的是攻擊者可以利用弱密碼、會(huì)話固定等方式來繞過等?！PI3對(duì)象屬性級(jí)別授權(quán)失效(合并)·API4未受限制的資源消耗(更新)足夠的資源來滿足所有的請(qǐng)求，攻擊者可以利用這個(gè)漏洞發(fā)起拒絕服務(wù)(DoS)攻擊。而API4:2023·API5功能級(jí)別的授權(quán)失效(無變化)由此22瑞數(shù)信息技術(shù)(上海)有限公司·API6不受限訪問敏感業(yè)務(wù)(新增)API指的是敏感業(yè)務(wù)接口沒有做合理的訪問控制，導(dǎo)致攻擊者可以利用自動(dòng)化工具或者腳本實(shí)現(xiàn)批量查詢或者敏感數(shù)據(jù)獲取，這個(gè)跟·API7服務(wù)器端請(qǐng)求偽造SSRF(新增)·API8錯(cuò)誤的安全配置(排名下降)·API9存量資產(chǎn)管理不當(dāng)(更新)2019版API9資產(chǎn)管理不當(dāng)更新為2023版API9存量資產(chǎn)管理不當(dāng)。這兩個(gè)風(fēng)險(xiǎn)都是跟資產(chǎn)管理I·API10API的不安全使用(新增)瑞數(shù)信息技術(shù)(上海)有限公司23API安全事件合集·推特2.35億用戶個(gè)人信息泄露Breached上被泄露，此次泄露的數(shù)據(jù)大約有寶馬、勞斯萊斯、保時(shí)捷等車企爆出API安全漏洞聯(lián)網(wǎng)(/web-hackers-vs-the-auto-黑客進(jìn)行各種惡意活動(dòng)，包括解鎖、啟動(dòng)和跟·美國通信巨頭T-Mobile五年遭遇八起數(shù)據(jù)泄露在提交給美國證券交易委員會(huì)(SEC)的報(bào)告0賬戶號(hào)和賬戶訂閱條目數(shù)與套餐功能等信息。程序編程接口(API)未經(jīng)授權(quán)就獲取到了這些24瑞數(shù)信息技術(shù)(上海)有限公司潛在漏洞。MoneyLover是一款管理個(gè)人財(cái)務(wù)的工具應(yīng)用程序。它可以幫助用戶記錄和跟蹤他們的支出、收入、預(yù)算、賬單和債務(wù)等方面Trustwave研究員Troyr交易記錄等，并且還可能篡改或刪除用戶的數(shù)據(jù)，導(dǎo)致用戶Optus竊取9月22日，Optus公司證實(shí)公司系統(tǒng)美元(約155萬澳元)的贖金，否則每天都會(huì)公布一萬名客戶的詳細(xì)資料。據(jù)稱本次事件是因?yàn)橄虻谌焦鹃_放的API接口存在安全漏I易機(jī)器人服務(wù)商3Commas用戶的API密鑰上瑞數(shù)信息技術(shù)(上海)有限公司25·LEGOMarketplace曝API漏洞，可進(jìn)行賬號(hào)接管攻擊的樂高轉(zhuǎn)售平臺(tái)中發(fā)現(xiàn)了API安全漏洞，Salt對(duì)客戶賬戶進(jìn)行大規(guī)模賬戶接管(ATO)攻擊，訪問平臺(tái)存儲(chǔ)的個(gè)人身份信息(PII)、用戶數(shù)據(jù)·ShopifyAPI密