数字化浪潮下的API 安全探索 邵付东 目录 01 API攻击案例 02 API安全挑战 03 API安全管理 登录API被大量IP低频撞库  企业的登录入口，除了可以使用微信扫码、手机号验证码登录之外，仍保留基于账号和密码的登录方式  账号密码登录API已启用行为验证码进行人机校验，且支持基于IP的限频策略  但登录API存在账号和密码明文传输、返回错误信息友好的设计缺陷，攻击门槛比较低；攻击者利用了打码 平台和动态代理IP资源在凌晨进行了低频的撞库攻击 社工库(手机号，密码） 打码平台 ....../WeChat login ....../SMS login 代理平台 攻击者 2754个IP 平均每个IP的攻击次数为 1.25次，超过95%的IP只攻 击了一次 WAF API网关 IP限频 ....../login 用户资料API： ....../profile 输入：手机号、密码 输入：手机号 正常返回：登录成功 返回：姓名、学历、手机号、 学校、工作经历 错误返回：用户不存在 Spring boot Acutator API未授权被利用导致拖库  使用Spring boot内置运维监控模块Acutator，没有进行安全设置，导致攻击者可以拿到数据库的地址、用 户名和密码  数据库直接可以通过公网进行访问，导致攻击者可以拖库  攻击者在暗网上售卖拖库数据，导致大量的用户被电信诈骗 FOFA类网络空间测绘系统 ....../env API可以未授权访问 攻击者 API /health /info /trace /env 描述 报告应用程序的健康指标 显示应用的基本信息 提供基本的 HTTP 请求跟踪信息 显示全部环境属性 拖库 暗网交易 实时用户信息: 姓名、手机号、 身份证、地址、贷款金额 电信诈骗 API缺陷和大量IP低频攻击导致数据泄漏 近几年API问题导致的大规模数据泄漏 某社交平台5.38亿用户数据泄露被工信部约谈 网络黑产通过对微博通讯录上传API接口进行暴力匹配攻击，导致用户绑定手机号、ID、昵称、所在地和头像等数据 泄露，对此工业和信息化部对新浪微博相关负责人进行了问询约谈 Facebook用户信息泄露被罚50亿美元 剑桥分析公司通过Facebook提供的开放API获得了多达8700万用户的个人信息，被美国联邦贸易委员会(FTC)罚 款50亿美元，并要求其加强其对用户信息收集和使用方面的管理，这成为美国政府对科技公司开出的最大罚单 某购物平台11亿用户购物信息泄漏 攻击者通过对两个API进行遍历爬取，其中一个API获取了手机号到账号的映射，另外一个API获取到账号在商品上 的评论，从而能够知道某个手机号在该购物平台购买了哪些商品 API是企业数字化的连接器 用户 用 户 名 、 密 姓 码 名 a 身份 员工 合作伙伴 、 攻击者 、 dm 号 机 手 单 、 证 、订 份 身 地址 数 据 库 、 in 证 、 地 交易系统 址 用户画像 行 、银 卡 小程序 OA系统 用 户 名 、 密 码 开源组件 API承载数据流动和业务逻辑，成为新的攻防面 数据风险 业务风险 业务数据泄漏 账号安全：撞库、扫号、养号、盗刷、内鬼 敏感数据泄漏 营销安全：刷量、羊毛、黄牛、抢单 个人信息泄漏 API滥用：广告引流、控评、短信轰炸 Gartner预测：“到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击 媒介；到2024年，API安全问题引起的数据泄露风险将翻倍。” API面临的安全挑战 资产未知 漏洞未知 攻击未知 • 有哪些API？ • 哪些API存在漏洞？ • 有什么API被攻击？ • 有哪些数据被访问？ • 哪些API设计不安全？ • 有什么账号访问异常？ • 有哪些账号和IP在访问？ • 哪些站点和组件配置有缺陷？ • 有什么IP在扫描试探？ 业务系统API每天都在发布变更 攻击流量隐藏在正常的业务流量中 内部系统缺陷多，数据访问角色多 现有解决方案在API安全管理上存在不足 WAF • • 不是所有的API流量会经过WAF 根据每条流量及时做出判断，无法解决API逻辑攻击 API网关 • • 不是所有的API都会到网关注册，业务存在大量影子API 授权和限频等方法无法解决海量小号、秒拨代理IP低频攻击 渗透测试 • • API每天都在更新，没办法做到每天都进行渗透测试 人工进行渗透测试，会选重点业务 ，深度可以，在覆盖面上不够 通过旁路流量分析，基于情报实现API安全管理 风险IP、号码、 邮箱情报 风险情报 资产梳理 缺陷评估 攻击感知 攻击工具情报 数据泄漏情报 持续自动话的梳理业务API 自动化高覆盖的缺陷检测 及时精准检测API攻击 掌握涉敏数据流动 支持站点配置缺陷、组件 检测操作的异常账号 梳理关联的账号、IP API的缺陷、业务API的缺陷 尽早发现尝试漏洞利用的IP 整体技术架构图 API资产梳理 攻击风险感知 API缺陷评估 IOC阻断 功能层 API提取 模型层 数据层 涉敏管理 异常流量清洗模型 API整理 影子API分析 API动态提取模型 涉敏数据识别模型 网络流量还原 缺陷检测 风险发现 风险预警 API缺陷评估模型 风险IP 情报 IOC提取 … API风险发现模型 黑产工具 情报 风险画像 情报 情报 数据泄露 情报 基于图模型技术实现API资产动态梳理 旁路流量 流量清洗解析 图聚类模型 2 3 ... API资产输出 41 1 orgs 涉敏检测模型 tms 45 73 ... 通过旁路接入流量 静态资源、异常流量 API规约提取路径参数归纳 通过正则匹配与NLP技 从流量还原请求日志 清洗，计算有效API 出度聚类：orgs/*/tms/* 术识别涉敏数据 API api.eg.com/orgs/*/tms/* 方法 GET、DELETE 输入 手机号 输出 身份证、姓名、地址 API资产可视化 持续清点全量API接口，及时下线影子 API和僵尸API、清理多版本、功能重复 的API，减少攻击面 识别暴露敏感数据的API，全面掌握数据 出入情况，整改数据过度暴露、数据没有 脱敏的API，缩减数据暴露面 API流动数据梳理 对敏感数据进行分类分级统计，全 面掌握数据流动的概况 通过关联敏感数据和API，提高数 据合规审查的效率 快速了解敏感数据涉及到有缺陷和 被攻击API，提早规避大面积数据 泄露风险 基于安全规范和漏洞利用，全面持续检测API缺陷 权限最小化 对用户进行权限分级化管理，在创建一个新的用户时， 默认的权限应当是最小的 纵深防御 对于需要保护的数据和应用，应部署冗余安全措施，即 当防御失效的时候，应当有其他防御可使用。在保证可 用性和成本的情况下使用纵深防御 简单设计 复杂的设计更容易出现问题，尽量使功能的实现简单化 故障安全化 当业务出现故障警告时，应考虑安全显示，并自动关闭 有问题的程序 识别出业务API中最易受攻击的数据和API，如账号登 保护最薄弱的 录、忘记密码、文件上传、短信验证码发送等，并实施 环节 保护 对于非面向大众用户的API，尽量使用IP和端口、账号 对外开放最小 白名单对访问、输入操作进行默认拒绝。尽量不使用黑 化 名单 保护数据和隐 识别并保护用户的数据和隐私资料，并对API中流动的 数据进行脱敏、对访问异常进行检测 私 尽量多的独立 功能模块尽量分层、分离，使攻击面最小化 单元 策略一致 API的访问授权、安全策略、数据脱敏保持一致，保持 每次访问都进行安全检查，不同API针对同样的敏感数 据脱敏策略是一致的 公开设计 不假设API中存在隐藏的秘密，比如安全策略、密钥不 会被外界发现 OWASP API Top 10 挖掘攻击链路情报特征，提高攻防对抗主动权 什么攻击者，在什么社区，使用什么资源，通过什么手法攻击，获得什么回报？ 基于情报构建API行为基线，发现未知的风险 撞库、扫号、恶意注 册、数据爬取、营销 作弊、短信轰炸 历史行为 异常 账号盗用、账号 借用、账号违规 获取数据 API行为 异常 路径扫描、漏洞 扫描、异常数据 访问 账号、IP 行为异常 API行为基线特征、账号、IP画像行为基线特征 工具情报基线特征：API序列、UA、Cookie、Referer 画像特征：IP&UA、IP&API、号码、邮箱、Cookie 风险IP基线特征 特征基线 异常 API风险事件 及时感知攻击风险，避免数据泄漏 和业务损失 对攻击流量进行提炼分析，通过攻 击量，攻击时间，攻击特征，洞察 攻击概况 基于IP、工具等情报，对攻击者进 行来源分析，了解攻击手段，指导 安全防御 提炼攻击特征，及时阻断攻击流量 以API接口的方式实时输出攻击特征IOC， 可及时阻断攻击流量，提高阻断的效率 输出IP、UA和Cookie等多维度攻击特征， 可联动网关、WAF、风控系统来进行阻 断，实现多点防御 针对攻击IP，提供IP画像访问次数、地域、 风险等标签信息，方便安全团队进行深 入的统计分析