18新利的网址电动缸厂家欢迎您!    服务热线:17328324199

2022年第二季度API安全态势研究:月均攻击数量超25万次

发布时间:2022-08-20 15:03:16 来源:18新利真人网 作者:18新利娱乐

  随着互联网技术的快速发展,API作为连接服务和传输数据的核心通道,需求正大量增长,API在企业的发展过程中也扮演着越来越重要的角色。然而,API巨大价值的背后也同时隐藏着不可忽视的安全风险。

  永安在线 API安全研究报告》(下文简称《报告》),报告数据显示,2022年Q2季度API风险态势依旧严峻,针对API的攻击持续高发,被攻击的API数量月均超过25万,相比Q1明显增长;API攻击波及到政务平台、智慧停车、数字藏品等多个行业。

  在Q2季度,永安在线研究团队也监测到了一系列因API安全防护不到位而发生的数据泄露事件,如多地政务系统遭恶意攻击,攻击者对政务系统中有缺陷的API进行攻击,从而获取公民身份证、手机号、姓名、住址等个人隐私信息,永安在线追溯到此类攻击均出自于同一个黑产团伙;多个智慧停车平台因查询缴费API接口均存在安全缺陷而被攻击,攻击者大规模爬取停车信息以获取个人隐私行踪。

  面对越来越多的API攻击以及由此导致的数据泄露风险,企业除了已有的防御体系外,也需要针对性地构建API安全防护体系,其中风险情报是重要的组成部分,基于情报及早感知及时防御,从而保障企业及其用户的数据安全。

  从Karma情报平台捕获到的数据来看,2022年Q2遭受攻击的API数量月均超过了25万,相比Q1大幅增加,其中,5月份的攻击数量更是达到了29.4万。

  永安在线情报研究人员根据捕获到的针对API自动化攻击的工具名称做热词统计,从图中可以看到:

  1)“邀请”、“抢购”、“注册”、“捡漏”等围绕营销活动的作弊攻击工具数量最多的,意味着在Q2针对API的攻击主要集中在营销作弊场景;

  2)“数藏”、“ibox”、“元宇宙”等与数字藏品相关的工具仍占据不少,可见针对数字藏品的攻击热度依旧高涨。

  此类自动化攻击会带来大量的虚假用户,短期内似乎“促进”了用户增长,但这种虚假繁荣会严重阻碍企业甚至行业的健康发展,企业需要引起重视,及早发现及早治理。(注:感兴趣的读者可以阅读Q1报告中详细的案例分析。)

  恶意爬虫是企业核心数字资产被黑产或竞品窃取的主要方式之一。通过对Q2捕获的恶意爬虫攻击流量进行分析,我们发现除了传统的网页爬虫之外,还存在大量破解和伪造接口协议的API爬虫。其中,房地产、招聘、出行等行业是这些恶意API爬虫重点攻击行业,房源、招聘、机票等信息成为了重点爬取对象。

  相比于传统的网页爬虫,API爬虫更加难以检测和防范,因为传统的网页爬虫使用PhantomJS、Selenium等浏览器自动化技术的网页爬虫,可以通过检测webdriver等方式来进行识别;

  而API爬虫通过破解协议,其发起的请求和正常的请求从内容上可以做到无任何差别。同时,这些爬虫基本都会通过代理IP、秒拨IP平台获取大量用于攻击的IP资源,从而绕过风控策略中针对IP请求频率的限制,以及通过打码平台绕过图片、滑块等人机识别验证码。恶意API爬虫对于企业反爬工作来说,无疑提出了更大的挑战。

  通过Karma情报平台,永安在线发现了一个非法窃取数据的大型网络犯罪团伙,该团伙利用政企单位线上业务API接口存在的缺陷,开发了数十款自动化攻击工具,主要针对政务平台、金融行业以及通信行业,非法窃取企业用户和公民个人隐私数据。其中各地的数字政务平台是该团伙的重点攻击目标,在Q2就有超过30多个的数字政务平台遭受恶意攻击。

  API存在安全缺陷是导致API攻击的主要原因。报告基于永安在线的流量审计结果,从危害性、可利用性、普遍性三个维度,列出了Q2需要引起重视的四类API安全缺陷。

  API 1:Broken Object Level Authorization(失效的对象级别授权)”,是危害最大的API安全缺陷之一,一旦被利用往往会导致严重的数据泄露。

  1)除非资源完全对外开放,否则访问默认都要授权,尤其是访问用户的资源或者受限制资源;

  API 2:Broken Authentication(失效的用户身份认证)”。弱密码缺陷是黑产盗取账号的主要手段之一,从Q2捕获的攻击数据中,我们发现了大量的撞库和密码暴破攻击,其中就存在弱密码导致被黑产成功登录账号的情况。

  1)除非在用户注册、登录、密码重置等相关场景中对输入密码复杂度进行检查,建议密码长度不低于8位,且包含大小写字母、数字及特殊符号;

  1)针对登录、注册、验证码发送、密码找回等接口的错误提示信息进行模糊化处理,比如返回“用户名或密码不正确”;

  API 7:Security Misconfiguration(安全配置错误)”。在云服务广泛运用的同时,由于开发或运维人员的疏忽,导致对外暴露了不应公开的云服务API接口,攻击者通过这些API接口,可以轻易获取敏感数据或执行敏感操作。

  Spring Boot Actuator 配置错误缺陷:Actuator是Spring Boot提供用来对应用系统进行监控的功能模块,使得开发者可以很方便地对应用系统某些监控指标进行查看、统计等。如果开发人员对Actuator的进行了错误的配置,或者使用了较低的版本(默认存在未授权访问),攻击者可直接通过Actuator的API接口获取到应用系统中的监控信息,导致信息泄露,甚至数据库、服务器被接管。

  Elasticsearch 配置错误缺陷:Elasticsearch是一个基于Lucene库的搜索引擎,在Elasticsearch 7.x 下,默认允许未授权访问。如果开发者使用了该版本的Elasticsearch,且进行了错误的配置,攻击者可直接通过Elasticsearch的API接口获取到敏感数据,甚至可以对数据进行删除和篡改。

  不需要任何授权下,攻击者在API请求中填入身份证号,即可获取对应用户的医保信息,包括姓名、地址、医保缴纳情况等。

  无需任何授权的情况下,攻击者在API请求中填入身份证号,就能查询到用户的姓名、手机号等隐私信息。

  1)限制政务平台信息查询的接口只有登录后的用户才可以查询,并且只有当前用户绑定的身份证与查询的身份证一致时才能够查到用户个人信息;

  2)如不可避免直接通过身份证查询用户个人信息,建议该接口不要暴露到互联网,只允许内网访问,并且限定人员的访问权限,做好日志记录。

  通过分析发现,这些平台的查询缴费API接口均存在未授权访问缺陷,攻击者利用该缺陷爬取了大量的用户停车信息。以其中一个被攻击的平台为例,黑产团伙通过代理IP平台频繁切换IP,对该平台的查询缴费API接口进行持续攻击,在输入车牌号信息后,如车辆无入场,返回“车辆未入场”;如车辆有入场,则会返回该车辆相关停车信息,包括停车时间、地点、资费情况等。

  黑产团伙利用该API缺陷,任意输入一个车牌号,在不需要车主授权的情况下,就可以查询到车辆停在哪个停车场、入场时间等信息。这些信息往往会被黑产在黑市上进行售卖并获利,比如近期在黑产TG群里,就有卖家提供车辆信息、定位等查询服务。

  1)限制车辆停车的信息接口需要先进行身份验证,比如绑定微信号、手机号等才可以进行查询;

  2)对接口查询做好频率限制,比如短时间内单个身份查询的车牌号不能超过2个。

  一般来说,移动端App都支持手机号+短信验证码进行注册或登录,如果短信验证码只会发送到用户所持有的手机上,这是没有安全问题的,然而部分开发人员缺乏安全意识,将短信验证码通过API接口直接返回到前端,并在前端进行验证码的比对,黑客可以通过抓包等方式轻易获取到验证码,从而伪造任意用户的身份进行注册和登录。

  2)验证码校验功能需要将用户输入的验证码传递到后端,由后端完成校验后将结果返回到前端。

  永安在线长期致力于业务反欺诈和API安全的研究,通过全网布控+风险感知技术快速捕获API风险,并由情报专家分析并提取API安全情报和风险态势,整合形成《API安全研究系列报告》。希望借此报告,帮助企业在解决API安全难题中提供新视角、新思路和新方法,助力企业在数字化浪潮中健康、安全、稳定发展。


上一篇:电动缸推力可以达到多少?(伺服电动缸能做到多大推力?)
下一篇:氢燃料电池电堆用伺服电动缸压机