全部產品
Search
文件中心

Web Application Firewall:API安全概述

更新時間:Jan 14, 2025

API安全模組是Web Application Firewall(Web Application Firewall,簡稱WAF)獨立付費的產品模組。該模組基於內建檢測機制和自訂檢測策略,自動梳理已接入防護的業務的API資產,檢測API風險(例如未授權訪問、敏感性資料過度暴露、內部介面泄露等),通過報表還原API例外狀況事件,審查出境資料和溯源敏感性資料泄露事件,為您提供詳細的風險處理建議和API生命週期管理參考資料,協助您發現和管理業務中存在的全量API介面資產,提升API介面在資料流轉過程中的安全性。本文介紹如何進行使用API安全功能進行防護。

什麼是API安全

在數字經濟時代,商業環境變化迅速,企業對外部環境變化的快速響應提出了更高要求。資料需要流通並分享給第三方,以加快效率。通過API介面實現系統之間的相互連信已成為企業內外部系統整合的重要手段。越來越多的行業客戶通過API開放平台將自身能力和資源開放,以打造產業生態。夥伴可以藉助開放的優質資源進行快速的整合和創新,從而促進API經濟的誕生,實現資料互動產生更多價值。對於企業服務,提供海量的API服務以及資料增值服務成為一項重要工作。然而,隨著API的快速發展,面臨的風險也在同步增加。攻擊者可能在未授權的情況下擷取API介面的存取權限,錯誤配置、非法的API訪問請求可能導致敏感性資料泄漏。因此,Web Application Firewall通過API監測和流量可視化,自動探索和歸類API業務,形成正常的訪問請求模型,一旦發現異常API訪問,便能結合WAF的處置能力形成閉環。

核心價值

API安全提供了自動化的API介面識別、介面風險檢測及異常攻擊檢測能力,可以協助您發現和解決以下幾種核心需求:

  • 檢測發現全量API資產。支援自訂檢測策略,方便您的安全團隊需要掌握業務所有的API,以便進行相應的安全管理。

  • 檢測發現API存在的安全風險,比如未授權訪問、弱口令、介面設計的不安全不規範。

  • 檢測發現針對API介面的攻擊行為,比如竊取敏感性資料、爬取介面資料、帳號爆破、撞庫、簡訊轟炸等介面濫用行為,輔助您對可能造成業務損失的攻擊及時處理。

如何檢測您的API安全狀態

在開通API安全前,您可以通過基礎檢測,查看安全事件總覽、資產總覽和安全事件列表資料,協助您瞭解您的API安全資訊。WAF 3.0訂用帳戶執行個體提供免費且預設開啟的基礎檢測能力。基礎檢測模組基於WAF日誌進行離線分析,頁面展示您API資產統計資料及例外狀況事件統計資料,並展示近10起針對API的異常呼叫事件。

如果您不希望瞭解相關資料,您也可以直接跳過該步驟。

說明
  • WAF 3.0隨用隨付執行個體暫不支援基礎檢測功能。

  • 該功能的展示資料與檢測結果可能會出現延遲。基礎檢測功能由於檢測能力弱於付費開通的API安全,檢測結果可能會出現差異,請以您的API安全檢測結果為準。

  1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

  2. 在左側導覽列,選擇防护配置 > API安全

  3. 基礎檢測地區,查看基礎檢測資料。

    • 安全事件總覽:包括API安全事件總數、高危事件數目、中危事件數目和低危事件數目。

    • 資產總數:包括API資產總數、活躍API數、失活API數。

    • 安全事件列表:通過卡片,查看安全事件的名稱、API路徑、網域名稱、攻擊源和產生時間。

    基礎檢測功能的相關資料及例外狀況事件資訊,不支援查看詳情。如果您希望查看傳輸敏感性資料API數,或查看安全事件的更多風險詳情和處置建議,您可以開通API安全

API安全功能介紹

API安全模組基於內建檢測機制和客戶自訂檢測策略,針對已接入WAF的業務流量,識別其中存在的API介面,分析API介面存在的各類安全風險,檢測API在實際應用過程中存在的各類異常調用或攻擊行為,監測敏感性資料跨境流轉、溯源敏感性資料泄露事件,協助您實現全面的API資產管理和安全檢測及防護能力。API安全除概覽頁簽外主要包含四個功能大類:資產管理風險與事件安全合規審查與溯源審計以及策略配置

  • 資產資訊模組支援資產資訊的查詢、統計和管理。

  • 風險與事件統計模組支援風險檢測、安全事件和整體概覽維度資料查詢統計。

  • 如果您的業務需要對非中國內地地區提供資料時,您需要向所在地省級網信部門向國家網信部門申報資料出境安全評估。您可以使用API安全合規審查和溯源審計功能,對出境資料進行審查和溯源。僅中國內地支援。

  • 策略配置支援您在風險檢測、安全事件、敏感性資料、鑒權憑據、業務用途、生命週期管理、生效對象、日誌訂閱等方面配置相關的策略,並更改策略的開啟與禁用狀態。除了預設配置以外,還支援您自主配置自訂策略。

四個功能大類中具體包含了以下七個的功能頁簽。

頁簽名稱

功能類目

功能簡介

概覽

-

包含API資產走勢、風險走勢及網站統計、攻擊走勢及網站統計、請求敏感性資料類型統計、響應敏感性資料類型統計圖表。

資產管理

資產管理

API安全通過離線分析業務訪問日誌,自動檢測流量中存在的所有API,並支援根據介面特徵,自動識別API業務用途。

風險檢測

風險與事件

檢測API存在的未授權訪問、敏感性資料暴露等各類安全風險,並提供詳細的風險分析及安全處置建議。

安全事件

風險與事件

監控分析API的調用行為,及時發現各類異常訪問或攻擊行為。

合規審查

安全合規審查與溯源審計

依據《資料出境安全評估辦法》,API安全對如下情境的出境資料(包括個人資訊資料、個人敏感資訊資料)進行合規審查,協助您快速識別API資產中存在的資料出境風險:

  • 關鍵資訊基礎設定營運者和處理100萬人以上個人資訊的資料處理者向境外提供個人資訊。

  • 自上年1月1日起累計向境外提供10萬人個人資訊或者1萬人敏感個人資訊的資料處理者向境外提供個人資訊。

溯源審計

安全合規審查與溯源審計

當發生敏感性資料安全事件時,API安全支援通過日誌和敏感性資料範例資料,交叉溯源安全事件。

策略配置

策略配置

在內建檢測機制的基礎上,API安全支援自訂符合業務特徵的檢測策略,使得識別出的API資產更符合實際業務情況,進一步提高API安全檢測的準確率與召回率。支援防護對象層級開啟API安全,靈活控制API安全的生效對象。

開通API安全服務

準備工作

已開通WAF 3.0服務。具體操作,請參見開通訂用帳戶WAF 3.0開通隨用隨付WAF 3.0

說明
  • 雲產品接入(FC)的防護對象暫不支援該功能。

  • MSE接入時,雲原生網關引擎版本需為2.0.4及以上。

如何開通API安全

重要
  • API安全所有的計算和分析均離線完成,不會主動探測介面,不會對業務運行產生任何影響。

  • API安全會檢測符合指定特徵的請求響應的內容,用於判斷API是否存在資料泄露風險。開通API安全,就意味著授權WAF進行相關分析。開通前,請根據實際業務進行評估。

  1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

  2. 在左側導覽列,選擇防护配置 > API安全

  3. 開通API安全。

    • 開通試用API安全

      說明
      • 進階版、企業版、旗艦版可免費試用一次API安全。

      • 試用時間長度為開通後的7天內。試用結束後,如果您未開通正式版本,試用期間產生的分析資料將被立即清除。如果您需要保留試用期間的資料,繼續使用API安全,請在試用結束前,開通正式版API安全。

      API安全頁面,單擊申請體驗。按照API安全解決方案試用申請頁面的提示,填寫試用申請資訊並單擊提交

      阿里雲工程師在收到試用申請的一周時間內,將通過提交的連絡方式聯絡您,與您確認試用相關事宜。試用申請審核通過後,您的WAF執行個體會自動開通API安全功能。

    • 開通正式版API安全

      1. API安全頁面,單擊立即開通

      2. 立即開通面板,選擇API安全開啟後,單擊立即購買並完成支付。

API安全概覽

API安全頁面的概覽頁簽,您可以查看您的API資產走勢風險走勢風險網站統計攻擊走勢受攻擊網站統計請求敏感性資料類型統計響應敏感性資料類型統計圖表,如下圖所示。統計周期預設為30天。

截屏2024-05-09 18

支援的查詢與篩選操作

  • API資產走勢風險走勢攻擊走勢圖中,您可以根據您的資料需求單擊走勢圖下方的屬性,如API資產總數、活躍API數等,篩選您希望展示在走勢圖中的資料。

  • 風險網站統計、受攻擊網站統計請求敏感性資料類型統計響應敏感性資料類型統計表中,支援您對展示的資料進行升序和降序排列的切換。

  • 如果您想查看風險檢測的更多資訊,可以單擊風險網站統計表格右上方的查看更多按鈕,跳轉到對應頁簽查看詳情。您也可以單擊表格內的對應數字跳轉到對應頁面查看該篩選條件下的詳情內容。

  • 如果您想查看安全事件的更多資訊,可以單擊受攻擊網站統計表格右上方的查看更多按鈕,跳轉到對應頁簽查看詳情。您也可以單擊表格內的對應數字跳轉到對應頁面查看該篩選條件下的詳情內容。

  • 如果您想查看資產管理的更多資訊,可以單擊請求敏感性資料類型統計表格,或者響應敏感性資料類型統計表格右上方的查看更多按鈕,跳轉對應頁簽查看詳情。您也可以單擊表格內的對應數字跳轉到對應頁面查看該篩選條件下的詳情內容。

相關問題

您可以在CloudMonitor控制台設定API安全事件的監控和警示,使WAF在檢測到高危風險事件時向您發送警示通知,協助您及時掌握API資產的安全狀態。具體操作,請參見設定WAF攻擊事件的監控與警示

您可以從以下問題瞭解更多關於API安全的能力:

  • API安全如何劃分API業務用途?

    介面業務用途標籤主要用於標識介面的功能用途,如登入介面、註冊介面、傳送簡訊介面等。方便您按功能分門別類管理,同時也為各類情境化的安全風險和事件檢測提供基礎,如需要檢測帳號爆破,則首先要識別出登入介面。API安全業務用途支援使用者自訂,並且支援多標籤展示,識別邏輯主要基於API路徑特徵和參數名特徵進行匹配。API安全內建的業務用途如下表所示。

    類型名稱

    帳號密碼登入

    手機驗證碼登入

    郵箱驗證碼登入

    微信登入

    支付寶登入

    OAuth認證

    OIDC認證

    SAML認證

    SSO認證

    登入服務

    登出登入

    帳號密碼註冊

    手機驗證碼註冊

    郵箱驗證碼註冊

    微信註冊

    支付寶註冊

    註冊服務

    簡訊發送

    郵件發送

    重設密碼

    驗證碼校正

    狀態檢查

    訂單查詢

    訂單匯出

    訂單更新

    訂單支付

    日誌查詢

    日誌上報

    日誌匯出

    Log Service

    GraphQL

    SQL服務

    檔案上傳

    檔案下載

    檔案服務

    後台管理

    資料看板

    監控服務

    資訊發送

    資料檢查

    資料查詢

    資料上傳

    資料下載

    添加資料

    編輯資料

    資料更新

    資料分享

    資料刪除

    資料同步

    資料提交

    資料拷貝

    資料審計

    資料儲存

    取消

    啟動

    批處理

    暫停

    綁定

    調試

    設定

    關閉

  • API安全如何區分介面的服務物件?

    服務物件標籤主要代表介面的調用方或使用者是誰,如是給內部辦公使用的,或是提供公開服務的。產品對於服務物件的識別,主要基於介面命名特徵和訪問來源的聚集性進行判斷。目前分為以下三類:

    • 內部辦公:面向內部員工提供服務的API介面。

    • 三方合作:面向第三方生態合作方提供的API介面。

    • 公用服務:面向互連網提供服務的API介面。

  • API安全支援檢測哪些敏感性資料?

    敏感性資料是指識別模型從介面請求和響應內容中檢出的敏感性資料類型,該功能支援自訂,敏感等級標籤按照S1-S4劃分,數字越大敏感等級越高,與資料資訊安全中心對齊。

    預設支援的敏感性資料的等級及歸類如下表所示。

    資料類型

    英文名稱

    敏感等級

    資料歸類

    身份證(中國內地)

    ID Card Number (Chinese Mainland)

    S3

    個人資訊、個人敏感資訊

    儲蓄銀行卡

    Debit Card

    S3

    個人資訊、個人敏感資訊

    姓名(簡體中文)

    Full Name (Simplified Chinese)

    S2

    個人資訊

    地址(中國內地)

    Address (Chinese Mainland)

    S2

    個人資訊

    手機號(中國內地)

    Mobile Number (Chinese Mainland)

    S2

    個人資訊

    郵箱

    Email Address

    S2

    個人資訊

    護照號(中國內地)

    Passport Number (Chinese Mainland)

    S3

    個人資訊、個人敏感資訊

    港澳通行證

    Mainland Travel Permit for Hong Kong and Macao Residents

    S3

    個人資訊、個人敏感資訊

    車牌號(中國內地)

    License Plate Number (Chinese Mainland)

    S2

    個人資訊

    電話號碼(中國內地)

    Phone Number (Chinese Mainland)

    S2

    個人資訊

    軍官證

    Military Officer Card

    S3

    個人資訊、個人敏感資訊

    性別

    Gender

    S2

    個人資訊

    民族

    Ethnic Group

    S2

    個人資訊

    省份(中國內地)

    Province (Chinese Mainland)

    S1

    城市(中國內地)

    City (Chinese Mainland)

    S1

    身份證(中國香港)

    ID Card Number (Hong Kong, China)

    S3

    個人資訊、個人敏感資訊

    姓名(繁體中文)

    Full Name (Traditional Chinese)

    S2

    個人資訊

    姓名(英文)

    Full Name (English)

    S2

    個人資訊

    身份證(馬來西亞)

    ID Card Number (Malaysia)

    S3

    個人資訊、個人敏感資訊

    身份證(新加坡)

    ID Card Number (Singapore)

    S3

    個人資訊、個人敏感資訊

    信用卡 借貸銀行卡

    Lending Bank Card

    S3

    個人資訊、個人敏感資訊

    SwiftCode SWIFT Code

    SWIFT Code

    S1

    SSN

    SSN

    S3

    個人資訊、個人敏感資訊

    電話號碼 (美國)

    Telephone Number (United States)

    S2

    個人資訊

    宗教信仰

    Religious Belief

    S3

    個人資訊、個人敏感資訊

    IP地址

    IP Address

    S2

    個人資訊

    MAC地址

    MAC Address

    S2

    個人資訊

    JDBC串連串

    JDBC Connection String

    S3

    個人資訊、個人敏感資訊

    PEM認證

    PEM Certificate

    S2

    個人資訊、個人敏感資訊

    KEY私密金鑰

    Private Key

    S3

    個人資訊、個人敏感資訊

    AccessKeyId

    AccessKey ID

    S3

    個人資訊、個人敏感資訊

    AccessKeySecret

    AccessKey Secret

    S3

    個人資訊、個人敏感資訊

    IPv6地址

    IPv6 Address

    S2

    個人資訊

    日期

    Date

    S1

    IMEI

    IMEI

    S2

    個人資訊

    MEID

    MEID

    S2

    個人資訊

    Linux-Passwd檔案

    Linux Password File

    S3

    Linux-Shadow檔案

    Linux Shadow File

    S3

    URL連結

    URL

    S1

    營業執照號碼

    Business License Number

    S1

    稅務登記證號碼

    Tax Registration Certificate Number

    S1

    組織機構代碼

    Organization Code

    S1

    統一社會信用代碼

    Unified Social Credit Code

    S1

    車輛識別碼

    Vehicle Identification Number

    S2

  • API安全的介面敏感等級如何劃分?

    介面敏感等級部分劃分為高敏感、中敏感、低敏感、無。介面敏感等級的劃分規則如下。

    • 高敏感:介面響應內容中包含S3層級及以上的敏感性資料類型,或單次返回超過20條S2層級的敏感性資料類型

    • 中敏感:介面響應內容中包含S2層級敏感性資料類型

    • 低敏感:介面響應內容中包含S1層級敏感性資料類型

    • 無敏感:介面響應內容中無敏感性資料

  • API安全支援檢測哪些API風險類型?

    風險大類

    類型名稱

    等級

    風險說明

    處置建議

    安全規範

    不安全的HTTP方法

    經API安全風險檢測模型分析,該介面使用了不安全的HTTP方法,攻擊者可能通過此類方法探測伺服器資訊或直接篡改伺服器資料。例如PUT方法可能被攻擊者利用上傳惡意檔案,DELETE方法可能被利用刪除伺服器資源等。

    建議根據業務需求改造介面,禁用PUT/DELETE/TRACE/OPTIONS等不安全的HTTP方法。

    JWT弱簽名演算法

    經API安全風險檢測模型分析,該介面使用了JWT弱簽名演算法。

    建議使用RS256等更安全的簽名演算法,並保證密鑰強度和密鑰傳輸預存程序的安全性。

    參數為URL

    經API安全風險檢測模型分析,該介面的請求參數的值存在URL連結,可能存在SSRF等攻擊風險。

    建議根據業務需求改造介面,避免直接使用參數中由使用者控制的URL,同時嚴格限制參數內容並過濾非法字元。

    帳號安全

    密碼明文傳輸

    經API安全風險檢測模型分析,該介面明文傳輸帳號密碼,攻擊者可能在傳輸過程中通過監聽等手段竊取使用者賬密資訊,導致帳號被盜用。

    建議對密碼欄位加密或雜湊處理後傳輸,避免被攻擊者監聽竊取。

    允許弱密碼

    經API安全風險檢測模型分析,該登入介面存在弱口令,攻擊者可能通過暴力破解的方式竊取帳號。

    建議增加密碼強度限制,通常應包含大寫、小寫、數字、符號的至少三種,且長度不小於8位。對於已存在的弱密碼帳號,建議及時通知修改。

    內部應用存在弱口令

    經API安全風險檢測模型分析,該內部應用登入介面存在弱口令,攻擊者可能通過暴力破解的方式竊取帳號。

    建議增加密碼強度限制,通常應包含大寫、小寫、數字、符號的至少三種,且長度不小於8位。對於已存在的弱密碼帳號,建議及時通知修改。

    存在預設密碼

    經API安全風險檢測模型分析,該介面應用疑似存在預設密碼,攻擊者可能利用預設密碼竊取未修改密碼的帳號。

    建議對存在預設密碼的應用,在帳號首次登入時強制修改密碼。對於當前已存在的帳號,建議及時通知修改。

    返回純文字密碼

    經API安全風險檢測模型分析,該介面的響應內容中包含純文字密碼,攻擊者可能在傳輸過程中通過監聽等手段竊取使用者賬密資訊,導致帳號被盜用。

    建議根據業務需求改造介面,避免介面返回明文的密碼資訊。

    Cookie中儲存密碼

    經API安全風險檢測模型分析,該介面的Cookie中儲存了帳號密碼資訊,易被攻擊者竊取。

    建議根據業務需求改造介面,避免在Cookie中儲存賬密等重要敏感資訊。

    登入介面缺乏限制

    經API安全風險檢測模型分析,該登入介面疑似缺少驗證碼限制機制,攻擊者可能利用該缺陷無限制爆破帳號密碼。

    建議增加驗證碼限制,特別是當多次登入失敗時,可通過增加驗證碼校正的方式,避免帳號爆破等攻擊行為。

    登入失敗提示不合理

    經API安全風險檢測模型分析,該登入介面的登入失敗提示不合理,可能泄漏帳號是否存在的資訊。攻擊者可能利用該提示枚舉已存在的帳號並對其進行攻擊,或擷取使用者註冊量等重要業務資料。

    建議在登入失敗時,返回“使用者名稱或密碼錯誤”,避免直接提示“使用者名稱不存在”等可能體現帳號註冊情況的資料。

    URL傳輸帳號密碼

    經API安全風險檢測模型分析,該介面通過URL傳輸帳號密碼資料,當URL被他人擷取後極易造成賬密泄漏。通常,URL容易被他人通過日誌、Referer或瀏覽器頁面擷取

    建議使用POST方式,通過Body傳遞賬密資料。

    存取控制

    內部應用公網可訪問

    經API安全風險檢測模型分析,該介面屬於內部應用且未做訪問限制,公網可訪問。內部應用暴露在公網,可能會被攻擊者惡意利用或攻擊。

    建議增加存取控制保護原則,如通過IP白名單的方式限制訪問來源。

    介面未限制訪問來源

    經API安全風險檢測模型分析,該介面的訪問來源存在不符合介面訪問來源基準(IP或者地區)。

    建議增加存取控制保護原則,通過IP黑白名單或地區封鎖功能,限制訪問來源。

    介面未限制訪問工具

    經API安全風險檢測模型分析,該介面訪問所使用的用戶端類型不符合介面的訪問用戶端基準。

    建議增加存取控制保護原則,限制訪問工具,避免攻擊者使用惡意工具攻擊介面或爬取資料。

    介面未限制訪問速率

    經API安全風險檢測模型分析,該介面日常訪問頻率為單IP每分鐘多少次,針對此類介面,可配置頻次限制策略,避免介面被非法調用。

    建議增加存取控制保護原則,限制高頻訪問。

    許可權管理

    鑒權憑據強度較弱

    經API安全風險檢測模型分析,該介面的鑒權憑據隨機性不足,容易被攻擊者暴力猜解,導致未授權或越權訪問。

    建議增強鑒權憑據的隨機性,避免長度過短或有明顯的格式特徵。

    敏感介面未鑒權

    經API安全風險檢測模型分析,該介面包含高敏感等級資料且可以未授權訪問,可能導致敏感性資料泄漏。

    建議增加嚴格完善的身分識別驗證機制,避免介面被未授權或越權利用。

    內部介面可未授權訪問

    經API安全風險檢測模型分析,該介面屬於內部應用介面且可以未授權訪問,可能導致內部應用被越權使用或內部資料泄漏。

    建議增加嚴格完善的身分識別驗證機制,避免介面被未授權或越權利用。

    URL傳輸憑據資訊

    經API安全風險檢測模型分析,該介面通過URL傳輸鑒權憑據資訊,當URL被他人擷取後極易造成許可權濫用。通常,URL容易被他人通過日誌、Referer或瀏覽器頁面擷取。

    建議使用其他方式傳遞鑒權憑據,如自訂Header、Cookie、Body等。

    AK資訊洩漏

    經API安全風險檢測模型分析,該介面響應內容中包含AccessKey ID和AccessKey Secret,可能被攻擊者非法利用。

    建議根據業務需求改造介面,避免介面返回AKSK資訊。此外,應禁用或刪除已泄漏的AccessKey。

    資料保護

    返回敏感性資料類型過多

    經API安全風險檢測模型分析,該介面響應內容中包含的敏感性資料類型過多,可能存在不必要的資料透出,容易造成資料泄漏。

    建議根據業務實際需求確認返回各資料類型的必要性,對重要敏感性資料脫敏處理並刪除不必要的資料類型。

    返回敏感性資料數量過多

    經API安全風險檢測模型分析,該介面響應內容中包含敏感性資料,未限制返回資料量,容易造成資料大量泄漏。

    建議根據業務實際需求限制單次返回的資料量,避免攻擊者利用該介面大量擷取敏感性資料。

    敏感性資料未有效脫敏

    經API安全風險檢測模型分析,該介面的響應內容中存在將已脫敏和未脫敏的相同資料同時返回前端的情況,未實現有效脫敏。

    建議結合範例資料確認風險,對於已脫敏處理的資料,應避免在其他位置明文透出。

    伺服器敏感資訊洩漏

    經API安全風險檢測模型分析,該介面的部分響應內容中包含伺服器敏感資訊,攻擊者可能利用該資訊攻擊伺服器擷取控制許可權。

    建議結合範例資料確認風險,排查返回資料是否符合預期,避免此類資料直接返回前端。

    泄漏內網IP地址

    經API安全風險檢測模型分析,該介面的響應內容中疑似包含內網IP地址,泄漏內部網路資訊,攻擊者可能利用該資訊攻擊內網應用。

    建議根據業務需求改造介面,避免內部網路資訊洩漏。

    URL傳輸敏感性資料

    經API安全風險檢測模型分析,該介面通過URL傳輸高敏感等級資料,當URL被他人擷取後可能導致敏感性資料泄漏。通常,URL容易被他人通過日誌、Referer或瀏覽器頁面擷取。

    在傳遞敏感性資料時,建議使用POST方法將敏感性資料通過請求體傳輸。

    介面設計

    請求參數可遍曆

    經API安全風險檢測模型分析,該介面的請求參數格式固定易構造,攻擊者可能按照該參數特徵遍曆參數值,批量擷取資料。

    建議根據業務需求提高參數的隨機性,避免使用短數字等格式簡單、容易猜解的參數值。

    返回資料量可修改

    經API安全風險檢測模型分析,該介面的請求參數用於控制返回數量且可修改為任意值,攻擊者可能通過修改該參數,單次擷取大量資料。

    建議根據業務需求增加限制,僅提供少數可選的固定值,避免介面被惡意利用擷取大量資料。

    資料庫查詢

    經API安全風險檢測模型分析,該介面的請求參數中包含資料庫查詢語句,攻擊者可能利用該介面執行任意的資料庫操作,攻擊資料庫或竊取重要資料。

    建議根據業務需求改造介面,避免直接傳遞資料庫查詢語句,同時嚴格限制參數內容並過濾非法字元。

    命令執行介面

    經API安全風險檢測模型分析,該介面的請求參數中包含系統命令執行語句,攻擊者可能利用該介面執行任意的系統命令,擷取伺服器控制許可權或竊取重要資料。

    建議根據業務需求改造介面,避免直接傳遞命令語句,同時嚴格限制參數內容並過濾非法字元。

    任意簡訊內容發送

    經API安全風險檢測模型分析,該簡訊發送介面的請求參數中發現手機號及疑似待發送的簡訊內容,攻擊者可能利用該介面向指定號碼發送惡意簡訊。

    建議根據業務需求改造介面,使用固定模板填充的方式構造待發送的內容。

    任意郵件內容發送

    經API安全風險檢測模型分析,該郵件發送介面的請求參數中探索信箱號及疑似待發送的郵件內容,攻擊者可能利用該介面向指定郵箱發送惡意郵件。

    建議根據業務需求改造介面,使用固定模板填充的方式構造待發送的內容。

    簡訊驗證碼泄漏

    經API安全風險檢測模型分析,該簡訊發送介面的響應參數中疑似包含驗證碼,攻擊者可能利用該介面直接擷取驗證碼,繞過簡訊驗證機制。

    建議根據業務需求改造介面,禁止直接將驗證碼返回前端,驗證碼校正過程應在後端完成。

    郵件驗證碼泄漏

    經API安全風險檢測模型分析,該郵件發送介面的響應參數中疑似包含驗證碼,攻擊者可能利用該介面直接擷取驗證碼,繞過郵件驗證機制。

    建議根據業務需求改造介面,禁止直接將驗證碼返回前端,驗證碼校正過程應在後端完成。

    指定檔案下載

    經API安全風險檢測模型分析,該檔案下載介面的請求參數中包含檔案路徑,攻擊者可能通過修改該參數下載任意檔案竊取重要資料。

    建議根據業務需求改造介面,禁止直接通過完整的檔案路徑下載檔案,同時嚴格限制參數內容並過濾非法字元,避免攻擊者利用該介面下載任意檔案。

    應用異常資訊洩漏

    經API安全風險檢測模型分析,該介面的部分響應內容中包含應用異常資訊,攻擊者可能通過返回的異常內容,擷取伺服器應用配置等相關敏感資訊。

    建議最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致應用資訊洩漏。

    資料庫異常資訊洩漏

    經API安全風險檢測模型分析,該介面的部分響應內容中包含資料庫異常資訊,攻擊者可能通過返回的異常內容,擷取資料庫查詢語句及庫表名等資訊,進而發起SQL注入等惡意攻擊。

    建議最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致資料庫資訊洩漏。

    自訂

    自訂風險規則

    自訂等級

    經API安全風險檢測模型分析,該介面命中自訂風險檢測規則。

    顯示您在策略配置中輸入的內容。

  • API安全支援檢測哪些例外狀況事件類型?

    大類名稱

    類型名稱

    事件說明

    處置建議

    基準異常

    異常高頻訪問

    訪問頻率遠高於介面的日常頻率基準,可能存在介面濫用或CC攻擊等惡意行為。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。

    異常IP訪問內部介面

    來源IP不符合介面日常訪問的IP分布基準,可能存在異常調用行為。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常IP分布基準,配置IP白名單策略並阻斷其他IP的訪問,保障介面資源合理使用。

    異常地區訪問內部介面

    IP所屬地區不符合介面日常訪問的地區分布基準,可能存在異常調用行為。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常地區分布基準,配置地區封鎖策略,保障介面資源合理使用。

    使用異常工具訪問

    訪問所用工具不符合介面日常訪問的工具分布基準,可能存在異常調用。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常訪問工具分布基準,配置ACL存取控制策略或啟用Bot防護模組,保障介面資源合理使用。

    異常時間段訪問

    在異常時間段內,存在調用介面情況,可能出現異常調用。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。

    參數值異常的訪問

    訪問過程中請求參數的格式與日常特徵不符,可能存在異常調用或攻擊行為。

    建議結合請求範例資料及日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。若確認存在Web攻擊行為,建議結合Web防護模組進行保護,保障介面資源合理使用。

    帳號風險

    內部應用弱口令登入

    IP疑似使用弱口令登入內部應用。

    建議結合日誌詳情確認登入是否成功。針對帳號服務,建議增加密碼強度限制,通常應包含大寫、小寫、數字、符號的至少三種,且長度不小於8位。對於已存在的弱密碼帳號,建議及時通知修改。

    爆破使用者名稱

    IP進行多次登入嘗試,期間使用相對固定的密碼但不斷變換使用者名稱,疑似爆破使用者名稱的攻擊行為。

    建議結合日誌詳情確認登入是否成功,定期修改密碼並確保不使用弱口令。針對登入服務,建議增加驗證碼限制登入嘗試次數,或配置訪問頻率限制策略,保障登入介面合理使用。

    爆破登入密碼

    IP多次進行登入嘗試,期間使用相對固定的帳號但不斷變換密碼,疑似對目標帳號進行密碼爆破的攻擊行為。

    建議結合日誌詳情確認登入是否成功,定期修改密碼並確保不使用弱口令。針對登入服務,建議增加驗證碼限制登入嘗試次數,或配置訪問頻率限制策略,保障登入介面合理使用。

    撞庫攻擊

    IP多次登入嘗試,期間使用大量不同的賬密,疑似撞庫攻擊行為。

    建議結合日誌詳情確認登入是否成功,定期修改密碼並確保不使用弱口令。針對登入服務,建議增加驗證碼限制登入嘗試次數,或配置訪問頻率限制策略,保障登入介面合理使用。

    簡訊驗證碼爆破

    IP多次進行簡訊驗證碼校正嘗試,期間使用大量不同的驗證碼,疑似簡訊驗證碼爆破的攻擊行為。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。

    郵件驗證碼爆破

    IP多次進行郵件驗證碼校正嘗試,期間使用大量不同的驗證碼,疑似郵件驗證碼爆破的攻擊行為。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。

    大量註冊

    IP多次進行註冊請求,疑似批量的帳號註冊行為,可能導致系統產生大量垃圾帳號。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。

    API濫用

    惡意消耗簡訊資源

    IP多次簡訊發送請求,疑似惡意消耗簡訊資源或利用介面進行簡訊轟炸,可能導致業務資損。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,應限制單個手機號傳送簡訊的頻次,並結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。

    惡意消耗郵件資源

    IP多次進行郵件發送請求,疑似惡意消耗郵件服務資源或利用介面進行郵件轟炸,可能影響郵件服務的穩定性。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,應限制單個郵箱發送郵件的頻次,並結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。

    批量下載

    IP多次進行資料匯出或下載請求,批量擷取了大量檔案資料,可能存在資料泄漏風險。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制策略,保障介面資源合理使用。

    遍曆爬取介面資料

    IP多次調用介面,期間存在參數遍曆行為,疑似在爬取介面資料。

    建議結合日誌詳情排查確認,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。此外,建議根據業務需求提高參數的隨機性,避免使用短數字等格式簡單、容易猜解的參數值。

    惡意攻擊API介面

    IP對介面發起Web攻擊行為,攻擊均已被Web攻擊防護模組攔截。

    建議結合日誌詳情分析IP行為,對於明確惡意的IP,可通過配置IP黑名單的方式攔截阻斷。

    敏感性資料泄漏

    未授權訪問擷取敏感性資料

    IP調用介面訪問過程疑似未授權,且擷取了敏感性資料,可能存在資料泄漏風險。

    建議結合日誌詳情排查確認。針對重要介面,應增加嚴格完善的身分識別驗證機制,避免介面被未授權或越權利用。

    擷取大量敏感性資料

    IP調用介面,擷取了多條敏感性資料,可能存在資料泄漏風險。

    建議結合日誌詳情排查確認。對重要敏感性資料脫敏處理並刪除不必要的資料類型。此外,可以結合介面日常頻率分布基準,配置訪問頻率限制。

    境外IP擷取大量敏感性資料

    IP調用了介面,訪問IP來自境外,且擷取了多條敏感性資料,可能存在資料泄漏及資料合規風險。

    建議結合日誌詳情排查確認。敏感性資料跨境傳輸可能存在合規風險,若確實存在業務需求,建議評估後及時申報或備案。

    響應異常

    介面返回異常報錯資訊

    IP調用介面訪問過程中,介面疑似返回了異常報錯資訊,可能導致應用配置等重要訊息泄漏。

    建議結合日誌詳情排查分析,確認介面運行是否正常。此外,應最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致應用資訊洩漏。

    介面返回資料庫報錯資訊

    IP調用介面訪問過程中,介面疑似返回了資料庫報錯資訊,可能導致資料庫語句及庫表名稱等重要訊息泄漏。

    建議結合日誌詳情排查分析,確認介面運行是否正常。此外,應最佳化業務異常處理機制,在發生異常時統一返回指定內容或跳轉至指定頁面,避免直接返回異常資訊導致資料庫資訊洩漏。

    介面返回系統敏感資訊

    IP調用介面訪問過程中,介面疑似返回了重要的伺服器敏感資訊,存在資料泄漏風險。

    建議結合日誌詳情排查分析,確認返回資料是否符合預期,避免此類資料直接返回前端。

    介面響應狀態異常

    IP調用介面訪問過程中,異常響應佔比超過80%,疑似來源站點服務存在異常

    建議結合日誌詳情排查分析,確認介面運行是否正常。

    自訂事件

    自訂事件規則

    IP調用介面訪問行為命中自訂事件檢測模型。

    顯示使用者在策略配置中輸入的內容。

  • API安全如何協助企業降低資料安全泄漏風險?

    API安全模組支援檢測API漏洞,還原API例外狀況事件,並提供詳細的漏洞處理建議,以協助企業降低資料泄漏風險。

    風險類型

    說明

    API漏洞

    是企業可能將內部介面(例如用於內部辦公、開發測試、營運管理的介面)暴露在公網上,從而導致攻擊者可以通過API擷取敏感性資料。

    API例外狀況事件

    API在預定義的業務需求和訪問情境下出現異常行為,即不符合正常基準的行為。

  • 出境資料申報和備案的標準是什嗎?(僅中國內地支援)

    根據《資料出境安全評估辦法》,申報標準如下:

    評估類型

    評估結果

    自上年1月1日起累計向境外提供個人資訊關聯自然人數大於100000

    符合申報要求

    自上年1月1日起累計向境外提供個人敏感資訊關聯自然人數大於10000

    自上年1月1日起存在資料出境行為且累計流轉個人資訊關聯自然人數大於1000000

    自上年1月1日起累計向境外提供個人資訊關聯自然人數小於100000

    未達到申報要求

    自上年1月1日起累計向境外提供個人敏感資訊關聯自然人數小於10000

    自上年1月1日起存在資料出境行為且累計流轉個人資訊關聯自然人數小於1000000