API安全是Web Application Firewall(WAF)的獨立計費模組。該模組依託內建檢測機制與自訂檢測策略,自動識別已接入防護業務的API資產,檢測API風險並上報API攻擊事件。同時,支援出境資料審查及敏感性資料泄露事件的溯源,保障API在資料安全與合規方面的管控需求。
API安全應用情境
發現未知API,構建資產清單
隨著業務快速迭代,開發人員可能發布未經安全團隊審核的API,或未能及時下線已廢棄的API,導致企業API資產資訊不全,形成安全管理盲區。通過API安全資產管理功能,可對業務訪問日誌進行離線分析,自動識別流量中的全部API介面,並根據介面特徵,自動識別API業務用途。
檢測API安全風險,監控API惡意攻擊
對API的設計或配置不當可能導致安全缺陷,使攻擊者未經授權訪問敏感介面,或導致使用者社會安全號碼、手機號、銀行卡號等敏感資訊在響應中被泄露。通過API安全風險檢測與安全事件模組,可實現精準的風險分析,並提供安全處置建議,及時發現異常訪問或攻擊行為。
識別資料出境風險,溯源敏感資訊泄露事件
(僅限中國內地)當業務需向非中國內地地區提供資料時,應當通過所在地省級網信部門向國家網信部門申報資料出境安全評估。通過API安全安全合規審查與溯源審計模組,對出境資料實施審查與溯源,快速識別API資產中的資料出境風險,交叉溯源安全事件。
API安全的能力
劃分業務用途相關
API安全如何劃分API業務用途?
API安全支援通過內建策略對API介面的業務用途進行分類識別,基於URL及參數名的特徵自動匹配。同時,也支援根據實際需求配置自訂識別策略。
分類 | 類型名稱 |
使用者認證類 | 帳號密碼登入、手機驗證碼登入、郵箱驗證碼登入、微信登入、支付寶登入、OAuth認證、OIDC認證、SAML認證、SSO認證、登入服務、登出登入、重設密碼 |
使用者註冊類 | 帳號密碼註冊、手機驗證碼註冊、郵箱驗證碼註冊、微信註冊、支付寶註冊、註冊服務 |
資料操作類 | 資料查詢、資料上傳、資料下載、添加資料、編輯資料、資料更新、資料分享、資料刪除、資料同步、資料提交、資料拷貝、資料審計、資料儲存、資料檢查 |
訂單管理類 | 訂單查詢、訂單匯出、訂單更新、訂單支付 |
日誌管理類 | 日誌查詢、日誌上報、日誌匯出、Log Service |
檔案管理類 | 檔案上傳、檔案下載、檔案服務 |
訊息通知類 | 簡訊發送、郵件發送、資訊發送、驗證碼校正 |
後台管理類 | 後台管理、資料看板、監控服務 |
系統控制類 | 取消、啟動、批處理、暫停、綁定、調試、設定、關閉、狀態檢查 |
技術服務類 | GraphQL、SQL服務、大模型對話、MCP服務 |
API安全如何區分介面的服務物件?
服務物件標籤用於標識API介面的調用方類型,依據介面命名特徵及訪問來源的聚集性進行判定。分類如下:
內部辦公:面向內部員工提供服務的API介面。
三方合作:面向第三方生態合作方提供的API介面。
公用服務:面向互連網提供服務的API介面。
敏感性資料檢測相關
API安全支援檢測哪些敏感性資料?
敏感性資料指通過識別模型從介面請求和響應內容中檢測出的敏感資訊類型。支援配置自訂檢測策略。敏感等級劃分為S1至S4級,數值越大,等級越高,與資料資訊安全中心標準一致。
身份資訊
資料類型 | 英文名稱 | 類型 ID | 敏感等級 | 資料歸類 |
身份證(中國內地) | ID Card Number (Chinese Mainland) | 1000 | S3 | 個人資訊、個人敏感資訊 |
姓名(簡體中文) | Full Name (Simplified Chinese) | 1002 | S2 | 個人資訊 |
護照號(中國內地) | Passport Number (Chinese Mainland) | 1006 | S3 | 個人資訊、個人敏感資訊 |
港澳通行證 | Mainland Travel Permit for Hong Kong and Macao Residents | 1007 | S3 | 個人資訊、個人敏感資訊 |
車牌號(中國內地) | License Plate Number (Chinese Mainland) | 1008 | S3 | 個人資訊 |
軍官證 | Military Officer Card | 1010 | S3 | 個人資訊、個人敏感資訊 |
性別 | Gender | 1011 | S1 | 個人資訊 |
民族 | Ethnic Group | 1012 | S1 | 個人資訊 |
身份證(中國香港) | ID Card Number (Hong Kong, China) | 1015 | S3 | 個人資訊、個人敏感資訊 |
姓名(繁體中文) | Full Name (Traditional Chinese) | 1016 | S2 | 個人資訊 |
姓名(英文) | Full Name (English) | 1017 | S2 | 個人資訊 |
身份證(馬來西亞) | ID Card Number (Malaysia) | 1018 | S3 | 個人資訊、個人敏感資訊 |
身份證(新加坡) | ID Card Number (Singapore) | 1019 | S3 | 個人資訊、個人敏感資訊 |
SSN | SSN | 1023 | S3 | 個人資訊、個人敏感資訊 |
宗教信仰 | Religious Belief | 1025 | S2 | 個人資訊、個人敏感資訊 |
印尼家庭卡(KK) | KARTU KELUARGA(KK) | 4412 | S3 | 個人資訊、個人敏感資訊 |
印尼智慧卡(KIP) | Kartu Indonesia Pintar(KIP) | 4418 | S2 | 個人資訊 |
連絡方式與位置
資料類型 | 英文名稱 | 類型 ID | 敏感等級 | 資料歸類 |
地址(中國內地) | Address (Chinese Mainland) | 1003 | S2 | 個人資訊 |
手機號(中國內地) | Mobile Number (Chinese Mainland) | 1004 | S3 | 個人資訊 |
郵箱 | Email Address | 1005 | S2 | 個人資訊 |
電話號碼(中國內地) | Phone Number (Chinese Mainland) | 1009 | S2 | 個人資訊 |
省份(中國內地) | Province (Chinese Mainland) | 1013 | S1 | / |
城市(中國內地) | City (Chinese Mainland) | 1014 | S1 | / |
電話號碼 (美國) | Telephone Number (United States) | 1024 | S2 | 個人資訊 |
地址(英文) | Address(English) | 4410 | S2 | 個人資訊 |
金融與支付
資料類型 | 英文名稱 | 類型 ID | 敏感等級 | 資料歸類 |
儲蓄銀行卡 | Debit Card | 1001 | S3 | 個人資訊、個人敏感資訊 |
信用卡 借貸銀行卡 | Lending Bank Card | 1020 | S3 | 個人資訊、個人敏感資訊 |
SwiftCode SWIFT Code | SWIFT Code | 1022 | S1 | / |
網路與裝置標識
資料類型 | 英文名稱 | 類型 ID | 敏感等級 | 資料歸類 |
IP 位址 | IP Address | 2000 | S2 | 個人資訊 |
MAC 位址 | MAC Address | 2001 | S2 | 個人資訊 |
IPv6 地址 | IPv6 Address | 2007 | S2 | 個人資訊 |
IMEI | IMEI | 2010 | S2 | 個人資訊 |
MEID | MEID | 2011 | S2 | 個人資訊 |
URL 連結 | URL | 2015 | S1 | / |
憑據與密鑰
資料類型 | 英文名稱 | 類型 ID | 敏感等級 | 資料歸類 |
JDBC 串連串 | JDBC Connection String | 2002 | S3 | 個人資訊、個人敏感資訊 |
PEM 認證 | PEM Certificate | 2003 | S3 | 個人資訊 |
KEY 私密金鑰 | Private Key | 2004 | S3 | 個人資訊、個人敏感資訊 |
AccessKeyId | AccessKey ID | 2005 | S3 | 個人資訊、個人敏感資訊 |
AccessKeySecret | AccessKey Secret | 2006 | S3 | 個人資訊、個人敏感資訊 |
Linux-Passwd 檔案 | Linux Password File | 2013 | S3 | / |
Linux-Shadow 檔案 | Linux Shadow File | 2014 | S3 | / |
阿里雲 AKSK 金鑰組 | Alibaba Cloud AKSK key pair | 4399 | S3 | 個人資訊、個人敏感資訊 |
OpenAI API Key | Legacy OpenAI API Key | 4400 | S3 | 個人資訊、個人敏感資訊 |
OpenAI Project API Key | OpenAI Project API Key | 4401 | S3 | 個人資訊、個人敏感資訊 |
百鍊 API Key | Bailian API Key | 4402 | S3 | 個人資訊、個人敏感資訊 |
HuggingFace API Key | HuggingFace API Key | 4403 | S3 | 個人資訊、個人敏感資訊 |
Groq API Key | Groq API Key | 4404 | S3 | 個人資訊、個人敏感資訊 |
PAI-EAS Token | PAI-EAS Token | 4405 | S3 | 個人資訊、個人敏感資訊 |
企業與通用標識
資料類型 | 英文名稱 | 類型 ID | 敏感等級 | 資料歸類 |
日期 | Date | 2009 | S1 | / |
營業執照號碼 | Business License Number | 4000 | S2 | / |
稅務登記證號碼 | Tax Registration Certificate Number | 4001 | S2 | / |
組織機構代碼 | Organization Code | 4002 | S2 | / |
統一社會信用代碼 | Unified Social Credit Code | 4003 | S2 | / |
車輛識別碼 | Vehicle Identification Number | 4004 | S2 | / |
API安全的介面敏感等級如何劃分?
介面敏感等級部分劃分為高敏感、中敏感、低敏感、無。劃分規則如下:
高敏感:介面響應內容中包含S3層級及以上的敏感性資料類型,或單次返回超過20條S2層級的敏感性資料類型。
中敏感:介面響應內容中包含S2層級敏感性資料類型。
低敏感:介面響應內容中包含S1層級敏感性資料類型。
無敏感:介面響應內容中無敏感性資料。
風險與事件相關
API安全支援檢測哪些API風險類型?
安全規範
不安全的HTTP方法
等級:低
風險說明:經API安全風險檢測模型分析,該介面使用了不安全的HTTP方法,攻擊者可能通過此類方法探測伺服器資訊或直接篡改伺服器資料。例如PUT方法可能被攻擊者利用上傳惡意檔案,DELETE方法可能被利用刪除伺服器資源等。
處置建議:建議根據業務需求改造介面,禁用PUT/DELETE/TRACE/OPTIONS等不安全的HTTP方法。
JWT弱簽名演算法
等級:低
風險說明:經API安全風險檢測模型分析,該介面使用了JWT弱簽名演算法。
處置建議:建議使用RS256等更安全的簽名演算法,並保證密鑰強度和密鑰傳輸預存程序的安全性。
參數為URL
等級:低
風險說明:經API安全風險檢測模型分析,該介面的請求參數的值存在URL連結,可能存在SSRF等攻擊風險。
處置建議:建議根據業務需求改造介面,避免直接使用參數中由使用者控制的URL,同時嚴格限制參數內容並過濾非法字元。
帳號安全
密碼明文傳輸
等級:低
風險說明:經API安全風險檢測模型分析,該介面明文傳輸帳號密碼,攻擊者可能在傳輸過程中通過監聽等手段竊取使用者賬密資訊,導致帳號被盜用。
處置建議:建議對密碼欄位加密或雜湊處理後傳輸,避免被攻擊者監聽竊取。
允許弱密碼
等級:低
風險說明:經API安全風險檢測模型分析,該登入介面存在弱口令,攻擊者可能通過暴力破解的方式竊取帳號。
處置建議:建議增加密碼強度限制,通常應包含大寫、小寫、數字、符號的至少三種,且長度不小於8位。對於已存在的弱密碼帳號,建議及時通知修改。
內部應用存在弱口令
等級:高
風險說明:經API安全風險檢測模型分析,該內部應用登入介面存在弱口令,攻擊者可能通過暴力破解的方式竊取帳號。
處置建議:建議增加密碼強度限制,通常應包含大寫、小寫、數字、符號的至少三種,且長度不小於8位。對於已存在的弱密碼帳號,建議及時通知修改。
存在預設密碼
等級:中
風險說明:經API安全風險檢測模型分析,該介面應用疑似存在預設密碼,攻擊者可能利用預設密碼竊取未修改密碼的帳號。
處置建議:建議對存在預設密碼的應用,在帳號首次登入時強制修改密碼。對於當前已存在的帳號,建議及時通知修改。
返回純文字密碼
等級:低
風險說明:經API安全風險檢測模型分析,該介面的響應內容中包含純文字密碼,攻擊者可能在傳輸過程中通過監聽等手段竊取使用者賬密資訊,導致帳號被盜用。
處置建議:建議根據業務需求改造介面,避免介面返回明文的密碼資訊。
Cookie中儲存密碼
等級:低
風險說明:經API安全風險檢測模型分析,該介面的Cookie中儲存了帳號密碼資訊,易被攻擊者竊取。
處置建議:建議根據業務需求改造介面,避免在Cookie中儲存賬密等重要敏感資訊。
登入介面缺乏限制
等級:中
風險說明:經API安全風險檢測模型分析,該登入介面疑似缺少驗證碼限制機制,攻擊者可能利用該缺陷無限制爆破帳號密碼。
處置建議:建議增加驗證碼限制,特別是當多次登入失敗時,可通過增加驗證碼校正的方式,避免帳號爆破等攻擊行為。
登入失敗提示不合理
等級:低
風險說明:經API安全風險檢測模型分析,該登入介面的登入失敗提示不合理,可能泄漏帳號是否存在的資訊。攻擊者可能利用該提示枚舉已存在的帳號並對其進行攻擊,或擷取使用者註冊量等重要業務資料。
處置建議:建議在登入失敗時,返回“使用者名稱或密碼錯誤”,避免直接提示“使用者名稱不存在”等可能體現帳號註冊情況的資料。
URL傳輸帳號密碼
等級:中
風險說明:經API安全風險檢測模型分析,該介面通過URL傳輸帳號密碼資料,當URL被他人擷取後極易造成賬密泄漏。通常,URL容易被他人通過日誌、Referer或瀏覽器頁面擷取。
處置建議:建議使用POST方式,通過Body傳遞賬密資料。
存取控制
內部應用公網可訪問
等級:低
風險說明:經API安全風險檢測模型分析,該介面屬於內部應用且未做訪問限制,公網可訪問。內部應用暴露在公網,可能會被攻擊者惡意利用或攻擊。
處置建議:建議增加存取控制保護原則,如通過IP白名單的方式限制訪問來源。
介面未限制訪問來源
等級:低
風險說明:經API安全風險檢測模型分析,該介面的訪問來源存在不符合介面訪問來源基準(IP或者地區)。
處置建議:建議增加存取控制保護原則,通過IP黑白名單或地區封鎖功能,限制訪問來源。
介面未限制訪問工具
等級:低
風險說明:經API安全風險檢測模型分析,該介面訪問所使用的用戶端類型不符合介面的訪問用戶端基準。
處置建議:建議增加存取控制保護原則,限制訪問工具,避免攻擊者使用惡意工具攻擊介面或爬取資料。
介面未限制訪問速率
等級:低
風險說明:經API安全風險檢測模型分析,該介面日常訪問頻率為單IP每分鐘多少次,針對此類介面,可配置頻次限制策略,避免介面被非法調用。
處置建議:建議增加存取控制保護原則,限制高頻訪問。
許可權管理
內部應用公網可訪問
等級:中
風險說明:經API安全風險檢測模型分析,該介面的鑒權憑據隨機性不足,容易被攻擊者暴力猜解,導致未授權或越權訪問。
處置建議:建議增強鑒權憑據的隨機性,避免長度過短或有明顯的格式特徵。
敏感介面未鑒權
等級:高
風險說明:經API安全風險檢測模型分析,該介面包含高敏感等級資料且可以未授權訪問,可能導致敏感性資料泄漏。
處置建議:建議增加嚴格完善的身分識別驗證機制,避免介面被未授權或越權利用。
內部介面可未授權訪問
等級:高
風險說明:經API安全風險檢測模型分析,該介面屬於內部應用介面且可以未授權訪問,可能導致內部應用被越權使用或內部資料泄漏。
處置建議:建議增加嚴格完善的身分識別驗證機制,避免介面被未授權或越權利用。
URL傳輸憑據資訊
等級:中
風險說明:經API安全風險檢測模型分析,該介面通過URL傳輸鑒權憑據資訊,當URL被他人擷取後極易造成許可權濫用。通常,URL容易被他人通過日誌、Referer或瀏覽器頁面擷取。
處置建議:建議使用其他方式傳遞鑒權憑據,如自訂Header、Cookie、Body等。
AK資訊洩漏
等級:高
風險說明:經API安全風險檢測模型分析,該介面響應內容中包含AccessKey ID和AccessKey Secret,可能被攻擊者非法利用。
處置建議:建議根據業務需求改造介面,避免介面返回AKSK資訊。此外,應禁用或刪除已泄漏的AccessKey。
未授權訪問擷取STS-Token
等級:中
風險說明:經 API 安全風險檢測模型分析,檢測到該介面可被未授權訪問,且響應內容中包含雲平台 STS-Token(臨時安全憑證)。攻擊者可利用該介面直接擷取具備雲資源操作許可權的臨時憑證,可能引發未授權的雲端服務調用、敏感性資料竊取、計算資源濫用、惡意操作執行,甚至導致整個雲賬戶被接管、業務資料大規模外泄及高額費用產生等嚴重後果。
處置建議:建議立即對該介面實施嚴格的身份認證與存取控制機制,確保僅授權主體可在受信環境下調用 STS 相關介面,杜絕未授權或越權訪問風險。同時,應全面排查已泄露 STS-Token 的許可權範圍與使用記錄,及時撤銷相關臨時憑證,並對關聯的 IAM 角色策略進行安全強化。務必確保 STS 介面不對外暴露,嚴禁在前端代碼、用戶端應用或公開倉庫中嵌入或調用此類高危介面。
資料保護
返回敏感性資料類型過多
等級:中
風險說明:經API安全風險檢測模型分析,該介面響應內容中包含的敏感性資料類型過多,可能存在不必要的資料透出,容易造成資料泄漏。
處置建議:建議根據業務實際需求確認返回各資料類型的必要性,對重要敏感性資料脫敏處理並刪除不必要的資料類型。
返回敏感性資料數量過多
等級:中
風險說明:經API安全風險檢測模型分析,該介面響應內容中包含敏感性資料,未限制返回資料量,容易造成資料大量泄漏。
處置建議:建議根據業務實際需求限制單次返回的資料量,避免攻擊者利用該介面大量擷取敏感性資料。
敏感性資料未有效脫敏
等級:中
風險說明:經API安全風險檢測模型分析,該介面的響應內容中存在將已脫敏和未脫敏的相同資料同時返回前端的情況,未實現有效脫敏。
處置建議:建議結合範例資料確認風險,對於已脫敏處理的資料,應避免在其他位置明文透出。
伺服器敏感資訊洩漏
等級:高
風險說明:經API安全風險檢測模型分析,該介面的部分響應內容中包含伺服器敏感資訊,攻擊者可能利用該資訊攻擊伺服器擷取控制許可權。
處置建議:建議結合範例資料確認風險,排查返回資料是否符合預期,避免此類資料直接返回前端。
泄漏內網IP地址
等級:中
風險說明:經API安全風險檢測模型分析,該介面的響應內容中疑似包含內網IP地址,泄漏內部網路資訊,攻擊者可能利用該資訊攻擊內網應用。
處置建議:建議根據業務需求改造介面,避免內部網路資訊洩漏。
URL傳輸敏感性資料
等級:中
風險說明:經API安全風險檢測模型分析,該介面通過URL傳輸高敏感等級資料,當URL被他人擷取後可能導致敏感性資料泄漏。通常,URL容易被他人通過日誌、Referer或瀏覽器頁面擷取。
處置建議:在傳遞敏感性資料時,建議使用POST方法將敏感性資料通過請求體傳輸。
OpenAPI文檔泄漏
等級:中
風險說明:經API安全風險檢測模型分析,該介面暴露了OpenAPI/Swagger等介面定義文檔。攻擊者可通過此類文檔擷取業務API路徑、參數結構及業務細節,從而精準構造請求實施批量探測、資料竊取、商務邏輯攻擊,甚至發掘敏感介面及潛在未授權操作,嚴重時可能導致系統敏感性資料泄露或被非法操作。
處置建議:建議根據實際業務需求,嚴格限制介面定義文檔對外存取權限。生產環境應關閉或加密開放API文檔介面,防止未授權使用者訪問;如確需開放,務必僅限受信任帳號或內網調用。此外,建議定期審查API文檔暴露策略,避免攜帶敏感欄位及業務說明;可通過接入身份認證、IP白名單、介面網關等措施強化安全管控,防止外部攻擊者擷取介面中繼資料。
大模型API-Key泄漏
等級:高
風險說明:經API安全風險檢測模型分析,檢測到該介面可未授權訪問且返回資訊中存在大模型服務的API-Key。攻擊者可利用該介面竊取大模型API-Key,可能引發未授權的資料訪問、即時配額消耗、敏感資訊竊取,甚至產生惡意內容、業務資料外泄及帳號濫用等嚴重後果。
處置建議:建議增加嚴格完善的身分識別驗證機制,避免介面被未授權或越權利用。同時,立即排查API-Key的實際使用方式,及時更換相關密鑰,務必確保API-Key只在安全、受控環境下使用,嚴禁直接暴露於前端或公開庫。
介面設計
請求參數可遍曆
等級:低
風險說明:經API安全風險檢測模型分析,該介面的請求參數格式固定易構造,攻擊者可能按照該參數特徵遍曆參數值,批量擷取資料。
處置建議:建議根據業務需求提高參數的隨機性,避免使用短數字等格式簡單、容易猜解的參數值。
返回資料量可修改
等級:低
風險說明:經API安全風險檢測模型分析,該介面的請求參數用於控制返回數量且可修改為任意值,攻擊者可能通過修改該參數,單次擷取大量資料。
處置建議:建議根據業務需求增加限制,僅提供少數可選的固定值,避免介面被惡意利用擷取大量資料。
資料庫查詢
等級:高
風險說明:經API安全風險檢測模型分析,該介面的請求參數中包含資料庫查詢語句,攻擊者可能利用該介面執行任意的資料庫操作,攻擊資料庫或竊取重要資料。
處置建議:建議根據業務需求改造介面,避免直接傳遞資料庫查詢語句,同時嚴格限制參數內容並過濾非法字元。
命令執行介面
等級:高
風險說明:經API安全風險檢測模型分析,該介面的請求參數中包含系統命令執行語句,攻擊者可能利用該介面執行任意的系統命令,擷取伺服器控制許可權或竊取重要資料。
處置建議:建議根據業務需求改造介面,避免直接傳遞命令語句,同時嚴格限制參數內容並過濾非法字元。
任意簡訊內容發送
等級:中
風險說明:經API安全風險檢測模型分析,該簡訊發送介面的請求參數中發現手機號及疑似待發送的簡訊內容,攻擊者可能利用該介面向指定號碼發送惡意簡訊。
處置建議:建議根據業務需求改造介面,使用固定模板填充的方式構造待發送的內容。
任意郵件內容發送
等級:中
風險說明:經API安全風險檢測模型分析,該郵件發送介面的請求參數中探索信箱號及疑似待發送的郵件內容,攻擊者可能利用該介面向指定郵箱發送惡意郵件。
處置建議:建議根據業務需求改造介面,使用固定模板填充的方式構造待發送的內容。
簡訊驗證碼泄漏
等級:高
風險說明:經API安全風險檢測模型分析,該簡訊發送介面的響應參數中疑似包含驗證碼,攻擊者可能利用該介面直接擷取驗證碼,繞過簡訊驗證機制。
處置建議:建議根據業務需求改造介面,禁止直接將驗證碼返回前端,驗證碼校正過程應在後端完成。
郵件驗證碼泄漏
等級:高
風險說明:經API安全風險檢測模型分析,該郵件發送介面的響應參數中疑似包含驗證碼,攻擊者可能利用該介面直接擷取驗證碼,繞過郵件驗證機制。
處置建議:建議根據業務需求改造介面,禁止直接將驗證碼返回前端,驗證碼校正過程應在後端完成。
指定檔案下載
等級:中
風險說明:經API安全風險檢測模型分析,該檔案下載介面的請求參數中包含檔案路徑,攻擊者可能通過修改該參數下載任意檔案竊取重要資料。
處置建議:建議根據業務需求改造介面,禁止直接通過完整的檔案路徑下載檔案,同時嚴格限制參數內容並過濾非法字元,避免攻擊者利用該介面下載任意檔案。
應用異常資訊洩漏
等級:中
風險說明:經API安全風險檢測模型分析,該介面的部分響應內容中包含應用異常資訊,攻擊者可能通過返回的異常內容,擷取伺服器應用配置等相關敏感資訊。
處置建議:建議最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致應用資訊洩漏。
資料庫異常資訊洩漏
等級:中
風險說明:經API安全風險檢測模型分析,該介面的部分響應內容中包含資料庫異常資訊,攻擊者可能通過返回的異常內容,擷取資料庫查詢語句及庫表名等資訊,進而發起SQL注入等惡意攻擊。
處置建議:建議最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致資料庫資訊洩漏。
自訂
自訂風險規則
等級:自訂等級
風險說明:經API安全風險檢測模型分析,該介面命中自訂風險檢測規則。
處置建議:顯示您在策略配置中輸入的內容。
API安全支援檢測哪些IP例外狀況事件類型?
基準異常
異常高頻訪問
事件說明:訪問頻率遠高於介面的日常頻率基準,可能存在介面濫用或CC攻擊等惡意行為。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。
異常IP訪問內部介面
事件說明:來源IP不符合介面日常訪問的IP分布基準,可能存在異常調用行為。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常IP分布基準,配置IP白名單策略並阻斷其他IP的訪問,保障介面資源合理使用。
異常地區訪問內部介面
事件說明:IP所屬地區不符合介面日常訪問的地區分布基準,可能存在異常調用行為。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常地區分布基準,配置地區封鎖策略,保障介面資源合理使用。
使用異常工具訪問
事件說明:訪問所用工具不符合介面日常訪問的工具分布基準,可能存在異常調用。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常訪問工具分布基準,配置ACL存取控制策略或啟用Bot防護模組,保障介面資源合理使用。
異常時間段訪問
事件說明:在異常時間段內,存在調用介面情況,可能出現異常調用。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。
參數值異常的訪問
事件說明:訪問過程中請求參數的格式與日常特徵不符,可能存在異常調用或攻擊行為。
處置建議:建議結合請求範例資料及日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。若確認存在Web攻擊行為,建議結合Web防護模組進行保護,保障介面資源合理使用。
帳號風險
內部應用弱口令登入
事件說明:IP疑似使用弱口令登入內部應用。
處置建議:建議結合日誌詳情確認登入是否成功。針對帳號服務,建議增加密碼強度限制,通常應包含大寫、小寫、數字、符號的至少三種,且長度不小於8位。對於已存在的弱密碼帳號,建議及時通知修改。
爆破使用者名稱
事件說明:IP進行多次登入嘗試,期間使用相對固定的密碼但不斷變換使用者名稱,疑似爆破使用者名稱的攻擊行為。
處置建議:建議結合日誌詳情確認登入是否成功,定期修改密碼並確保不使用弱口令。針對登入服務,建議增加驗證碼限制登入嘗試次數,或配置訪問頻率限制策略,保障登入介面合理使用。
爆破登入密碼
事件說明:IP多次進行登入嘗試,期間使用相對固定的帳號但不斷變換密碼,疑似對目標帳號進行密碼爆破的攻擊行為。
處置建議:建議結合日誌詳情確認登入是否成功,定期修改密碼並確保不使用弱口令。針對登入服務,建議增加驗證碼限制登入嘗試次數,或配置訪問頻率限制策略,保障登入介面合理使用。
撞庫攻擊
事件說明:IP多次登入嘗試,期間使用大量不同的賬密,疑似撞庫攻擊行為。
處置建議:建議結合日誌詳情確認登入是否成功,定期修改密碼並確保不使用弱口令。針對登入服務,建議增加驗證碼限制登入嘗試次數,或配置訪問頻率限制策略,保障登入介面合理使用。
簡訊驗證碼爆破
事件說明:IP多次進行簡訊驗證碼校正嘗試,期間使用大量不同的驗證碼,疑似簡訊驗證碼爆破的攻擊行為。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。
郵件驗證碼爆破
事件說明:IP多次進行郵件驗證碼校正嘗試,期間使用大量不同的驗證碼,疑似郵件驗證碼爆破的攻擊行為。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。
大量註冊
事件說明:IP多次進行註冊請求,疑似批量的帳號註冊行為,可能導致系統產生大量垃圾帳號。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。
API濫用
惡意消耗簡訊資源
事件說明:IP多次簡訊發送請求,疑似惡意消耗簡訊資源或利用介面進行簡訊轟炸,可能導致業務資損。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,應限制單個手機號傳送簡訊的頻次,並結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。
惡意消耗郵件資源
事件說明:IP多次進行郵件發送請求,疑似惡意消耗郵件服務資源或利用介面進行郵件轟炸,可能影響郵件服務的穩定性。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,應限制單個郵箱發送郵件的頻次,並結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。
批量下載
事件說明:IP多次進行資料匯出或下載請求,批量擷取了大量檔案資料,可能存在資料泄漏風險。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。
遍曆爬取介面資料
事件說明:IP多次調用介面,期間存在參數遍曆行為,疑似在爬取介面資料。
處置建議:建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,建議根據業務需求提高參數的隨機性,避免使用短數字等格式簡單、容易猜解的參數值。
惡意攻擊API介面
事件說明:IP對介面發起Web攻擊行為,攻擊均已被Web攻擊防護模組攔截。
處置建議:建議結合日誌詳情分析IP行為,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。
敏感性資料泄漏
未授權訪問擷取敏感性資料
事件說明:IP調用介面訪問過程疑似未授權,且擷取了敏感性資料,可能存在資料泄漏風險。
處置建議:建議結合日誌詳情排查確認。針對重要介面,應增加嚴格完善的身分識別驗證機制,避免介面被未授權或越權利用。
擷取大量敏感性資料
事件說明:IP調用介面,擷取了多條敏感性資料,可能存在資料泄漏風險。
處置建議:建議結合日誌詳情排查確認。對重要敏感性資料脫敏處理並刪除不必要的資料類型。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制。
境外IP擷取大量敏感性資料
事件說明:IP調用了介面,訪問IP來自境外,且擷取了多條敏感性資料,可能存在資料泄漏及資料合規風險。
處置建議:建議結合日誌詳情排查確認。敏感性資料跨境傳輸可能存在合規風險,若確實存在業務需求,建議評估後及時申報或備案。
響應異常
介面返回異常報錯資訊
事件說明:IP調用介面訪問過程中,介面疑似返回了異常報錯資訊,可能導致應用配置等重要訊息泄漏。
處置建議:建議結合日誌詳情排查分析,確認介面運行是否正常。此外,應最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致應用資訊洩漏。
介面返回資料庫報錯資訊
事件說明:IP調用介面訪問過程中,介面疑似返回了資料庫報錯資訊,可能導致資料庫語句及庫表名稱等重要訊息泄漏。
處置建議:建議結合日誌詳情排查分析,確認介面運行是否正常。此外,應最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致資料庫資訊洩漏。
介面返回系統敏感資訊
事件說明:IP調用介面訪問過程中,介面疑似返回了重要的伺服器敏感資訊,存在資料泄漏風險。
處置建議:建議結合日誌詳情排查分析,確認返回資料是否符合預期,避免此類資料直接返回前端。
介面響應狀態異常
事件說明:IP調用介面訪問過程中,異常響應佔比超過80%,疑似來源站點服務存在異常。
處置建議:建議結合日誌詳情排查分析,確認介面運行是否正常。
自訂事件
自訂事件規則
事件說明:IP調用介面訪問行為命中自訂事件檢測模型。
處置建議:顯示使用者在策略配置中輸入的內容。
API安全支援檢測哪些帳號例外狀況事件類型?
帳號異常
帳號使用異常工具訪問
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}使用${attack_client}等多種不同工具訪問總計${attack_cnt}次,疑似批量自動化攻擊或指令碼刷介面。
處置建議:建議日誌詳情排查確認,如存在使用非法工具訪問的情況,建議及時限制帳號訪問。同時,結合介面日常訪問工具分布基準,配置ACL存取控制策略或啟用Bot防護模組,保障業務資源合理使用。
資料泄漏
異常擷取大量敏感性資料
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}擷取${data_type}等敏感性資料超過${data_count}條,疑似敏感資訊收集行為,存在敏感性資料泄漏風險。
處置建議:建議結合日誌詳情排查確認,若無合理業務依據,應及時限制帳號訪問,並對相關帳號實施資料訪問配額與許可權收緊策略。同時,對業務中傳輸的重要敏感性資料脫敏處理並刪除不必要的資料類型。
跨境訪問擷取敏感性資料
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}從${location}等境外地區發起訪問,並擷取${data_type}等敏感性資料超過${data_count}條,疑似惡意抓取或外部攻擊,存在敏感性資料泄漏或資料合規風險。
處置建議:建議結合日誌詳情排查確認。敏感性資料跨境傳輸可能存在合規風險,若確實存在業務需求,建議評估後及時申報或備案。
異常下載大量檔案
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}通過${api_format}等介面下載或匯出了大量檔案,存在資料泄漏風險。
處置建議:建議結合日誌詳情排查確認,若屬非授權行為,應限制下載頻次與總量,並對大檔案下載介面增加授權或審批機制。
嘗試擷取其他使用者敏感資訊
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}通過${api_format}等介面使用不同的${param}參數值擷取了多個不同使用者的${data_type}等資料,疑似橫向越權攻擊,存在使用者資料泄露風險。
處置建議:建議結合請求參數、目標使用者ID、許可權上下文等日誌詳情排查確認;若存在越權行為,應立即限制該帳號存取權限,強化介面的許可權校正邏輯,並對涉事帳號進行風險評估與處置。
遍曆爬取業務資料
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}通過${api_format}等介面遍曆${param}參數值擷取資料,疑似業務資料爬蟲或批量收集。
處置建議:建議結合日誌詳情排查確認,若為自動化爬取行為,建議根據介面日常頻率基準分布,配置動態速率限制策略,並對關鍵介面增加防遍曆保護(如參數簽名或驗證碼)。
異常操作
高頻調用API介面
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}對${api_format}等介面存在高頻調用行為,疑似自動化攻擊或惡意刷介面,存在業務風險。
處置建議:建議結合日誌詳情排查確認,並根據介面日常頻率基準分布,配置動態速率限制策略,保障介面資源的合理調用。
訪問觸發多次異常報錯響應
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}在訪問過程中多次觸發應用或資料庫異常報錯,疑似存在惡意探測或攻擊行為。
處置建議:建議結合日誌詳情排查確認,若存在探測或攻擊行為,應限制帳號訪問。同時,應最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致應用資訊洩漏。
訪問狀態代碼異常
事件說明:經API安全事件檢測模型分析,${start_ts}至${end_ts}期間,帳號${account}在訪問過程中異常響應狀態代碼(4xx/5xx)佔比超過${except_rate},疑似惡意探測或攻擊。
處置建議:建議結合日誌詳情排查確認,若存在探測或攻擊行為,應限制帳號訪問;同時,確認業務運行是否正常。
API安全如何協助企業降低資料安全泄漏風險?
API安全支援檢測API漏洞,還原API例外狀況事件,並提供詳細的漏洞處理建議。
API漏洞:企業可能將內部介面(例如用於內部辦公、開發測試、營運管理的介面)暴露在公網上,從而導致攻擊者可以通過API擷取敏感性資料。
API例外狀況事件:API在預定義的業務需求和訪問情境下出現異常行為,即不符合正常基準的行為。
資料出境相關
(僅限中國內地)出境資料申報和備案的標準是什嗎?
需申報(滿足以下任一項)
自上年1月1日起累計向境外提供個人資訊關聯自然人數大於100000。
自上年1月1日起累計向境外提供個人敏感資訊關聯自然人數大於10000。
自上年1月1日起存在資料出境行為且累計流轉個人資訊關聯自然人數大於1000000。
無需申報
自上年1月1日起累計向境外提供個人資訊關聯自然人數小於100000。
自上年1月1日起累計向境外提供個人敏感資訊關聯自然人數小於10000。
自上年1月1日起存在資料出境行為且累計流轉個人資訊關聯自然人數小於1000000。
初步評估API安全態勢
在開通API安全前,可通過基礎檢測功能瞭解自身的API安全狀況。WAF 3.0執行個體預設免費開啟該功能,基於WAF日誌進行離線分析,提供安全事件總覽、資產總覽及安全事件列表等資料。頁面將展示API資產統計、例外狀況事件統計,並列出最近發生的10起API異常呼叫事件。
基礎檢測功能的檢測能力弱於付費的API安全服務,檢測結果可能存在偏差或延遲。
基礎檢測功能不提供資料詳情查看。
進入API安全頁面,在頂部功能表列選擇資源群組和地區(中国内地、非中国内地)。
在基础检测地區,查看基礎檢測資料。
安全事件總覽:包括API安全事件總數、高危事件數目、中危事件數目和低危事件數目。
資產總數:包括API資產總數、活躍API數、失活API數。
安全事件列表:通過卡片,查看安全事件的名稱、API路徑、網域名稱、攻擊源和產生時間。
開通API安全服務
API安全所有的計算和分析均離線完成,不會主動探測介面,不會對業務運行產生任何影響。
API安全通過檢測符合特定特徵的請求與響應內容,識別API存在的資料泄露風險。開通API安全即表示授權WAF執行相應分析。開通前,須結合實際業務情境進行評估。
進入API安全頁面,在頂部功能表列選擇資源群組和地區(中国内地、非中国内地)。
開通API安全。
開通試用API安全
說明進階版、企業版、旗艦版可免費試用一次API安全,試用時間長度為7天。
試用結束後,若未開通正式版本,試用期間產生的分析資料將被立即清除。如需保留試用期間的資料,請在試用結束前,開通正式版API安全。
在API安全頁面,單擊申请7天免费POC。
開通正式版API安全
在API安全頁面,單擊立即启用。選擇API安全開啟後,單擊立即購買並完成支付。
查看API安全概覽頁
在API安全頁面的概览頁簽,可以查看API资产走势、风险走势、攻击走势、风险站点统计、受攻击站点统计、请求敏感数据类型统计、响应敏感数据类型统计圖表,統計周期預設為30天。
支援的查詢與篩選操作
在API资产走势、风险走势、攻击走势圖中,可以單擊走勢圖下方的屬性,如API資產總數、活躍API數等,篩選希望展示在走勢圖中的資料。
在风险站点统计、受攻击站点统计、请求敏感数据类型统计、响应敏感数据类型统计表中,支援對展示的資料進行升序和降序排列的切換。也可以單擊表格右上方的查看更多按鈕跳轉對應頁簽查看詳情。
配額與限制
雲產品接入(FC)的防護對象暫不支援API安全功能。MSE接入時,雲原生網關引擎版本需為2.0.4及以上。
訂用帳戶基礎版不支援API安全。