您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[威胁猎人]:威胁猎人发布《2022年API安全研究报告》 - 发现报告
当前位置:首页/行业研究/报告详情/

威胁猎人发布《2022年API安全研究报告》

信息技术2023-02-09威胁猎人小***
AI智能总结
查看更多
威胁猎人发布《2022年API安全研究报告》

1 目录 Contents 前言3 一、2022年API安全风险概况5 二、2022年API安全缺陷分析10 三、2022年API攻击方式分析19 四、2022年值得关注的API攻击案例27 1、线上政务平台的API攻击案例27 2、金融行业的数据泄露案例29 3、互联网社交平台的API攻击案例31 4、智慧停车平台的数据泄漏案例33 五、安全建议37 前言 近年来,数字化浪潮与疫情交织,企业业务线上化被按下了“快进键”。数字化与线上化趋势下,API接口作为应用连接、数据传输的重要通道,呈现大规模增长趋势,API应用的增速与其安全发展的不平衡,使其成为恶意攻击的首选目标,围绕API安全的攻防较量愈演愈烈。 威胁猎人长期致力于API安全的研究,重点关注全网针对API攻击的各类黑灰产情报。 《2022年API安全研究报告》显示,API安全已然成为了当下企业面临的最严峻网络安全挑战之一: 1、2022年平均每月遭受攻击的API数量超21万,其中“营销作弊”场景在API攻击的主要场景中占比最大,金融和政务平台成为黑产攻击API并窃取数据的重要目标; 2、2022年,互联网、政务、金融等各行业发生了多起因API安全防护不当引起的API攻击及数据泄漏事件:如线上政务平台的业务API遭黑产攻击,公民隐私数据被爬取;社交平台面临大量扫号、撞库等攻击,大量用户账号被黑产贩卖并用于色情、赌博、诈骗等引流推广。 威胁猎人《2022年API安全研究报告》基于Karma情报平台捕获的API攻击风险,对过去一年的API安全现状和攻击趋势进行了分析,梳理了2022年较为常见的API安全缺陷、API攻击方式,并结合API安全案例给出相应的防御建议。 4 01 01 API安全风险概况 一、2022年API安全风险概况 1、2022年平均每月遭受攻击的API数量超21万 从威胁猎人Karma情报平台捕获到的攻击流量来看,2022年全年平均每月遭受攻击的API数量超过21万,第二季度(4-6月)遭受攻击的API数量达到高峰,月均攻击数量超过27万。 图:2022年1-12月遭受攻击的API数量 2、API攻击主要集中在四大场景,营销作弊场景占比最大 从API遭受攻击的场景来看,主要集中在营销作弊、账号风险、数据窃取和流量欺诈四大场景,其中,营销作弊场景攻击量近乎占总攻击量的一半。此外,虚假账号、账号盗取等一系列账号风险问题占比高达20%,成为第二大常见API攻击场景。 图:API攻击的常见场景占比 3、API攻击遍布各行各业,金融和政务平台是黑产攻击API并窃取数据的重要目标 图:2022年API攻击的主要行业 从2022年API攻击的行业分布数据来看,热度最高的是数字藏品行业,2022年初开始,黑产针对数字藏品活动接口的攻击快速激增,并在2022年Q2达到高峰。 值得关注的是,威胁猎人情报研究团队通过分析2022年API攻击流量,发现有多个金融和政务平台遭受大规模攻击,黑产通过金融或政务平台有安全缺陷的API非法爬取大量涉及公民隐私、金融业务办理等敏感数据。 黑产通过贩卖金融行业的用户数据可以获取高额利益,包括但不限于出售给中介“精准”揽客、出售给犯罪分子实施诈骗等;政务平台的API接口则承载了海量公民隐私数据,如身份证、住址、医保社保等敏感信息,也是黑产疯狂攻击的对象。 此外,游戏、社交、电商、制造等行业的API接口也遭到黑产的大规模攻击,具体如下所示: 游戏:游戏行业API接口被攻击的主要场景是账号风险问题。黑产长期对注册、登录、找回密码等接口,发起扫号、撞库和暴破攻击,盗取玩家账号和虚拟资产。其中针对某些热门游戏的全网攻击规模达到数亿次。 社交:社交平台API接口被攻击的主要场景是流量欺诈问题。黑产通过攻击平台的业务接口,制造虚假阅读量、点赞量、评论等。网络水军可借此控制舆情,引流团伙则借此给赌博、诈骗等网络犯罪行为引流。 电商:电商平台面临着营销作弊以及商家刷单、黄牛抢购等流量欺诈问题。尤其每年的双11,双22等电商节日,以及疫情期间口罩、抗原等热门商品的抢购时段,各家平台的API接口往往会遭受到黑产的大规模攻击。 制造:汽车、家电等传统制造业在2022年进一步深化数字化转型,其线上业务的API接口也被黑产盯上,带来了营销作弊、数据窃取等安全问题。 9 02 API安全缺陷分析 二、2022年API安全缺陷分析 API攻击事件频发,其根本原因仍是API存在安全缺陷。威胁猎人基于API安全管控平台2022年流量审计结果,从危害性、可利用性、普遍性三个维度,梳理了企业需关注的五大API安全缺陷。 注:极高>高>中高>中 1、未授权访问 从2022年的审计结果来看,「未授权访问」依然是危害性最大的API安全缺陷之一。API存在未授权访问缺陷,可能会导致系统权限失陷。威胁猎人情报研究员曾在2022年Q1发现某公司内部系统的API接口,该接口开放了外网访问且访问无需任何授权,传入任意账号都可以获取到该账号的密码。 这属于非常严重的安全漏洞,一旦遭到攻击,攻击者可轻易获取到管理员的账号密码,并拿到系统的最高权限。 该缺陷也可能会引发大规模数据失窃。威胁猎人在2022年Q3对48家银行信用卡业务的API接口进行安全评估,发现至少有20家银行的API接口存在未授权访问缺陷:在未经授权的情况下,可以查询到任意用户的信用卡办理信息,而黑产团伙也利用该缺陷对多家银行的API接口发起了大规模的自动化攻击,批量窃取用户隐私信息。 安全建议: 1)除非资源完全对外开放,否则访问默认都要授权,尤其是访问用户的资源或者受限制资源; 2)通过白名单的方式来严格控制无需授权的API接口的访问。 2、允许弱密码 「允许弱密码」是危害性、普遍性和可利用性都非常高的一种缺陷,是黑产盗取账号的主要手段之一。尽管很多安全开发规范都有提到密码设置需满足一定的强度,但从2022年的整体情况来看,仍有不少的API接口,甚至是部分管理后台的登录接口,存在允许弱密码的缺陷。 API接口存在允许弱密码的缺陷容易导致严重的账号风险。以某游戏平台为例,该平台由于存在弱密码缺陷,遭受到黑产团伙长期撞库和暴破攻击,被黑产成功盗取的账号中超过61%是弱密码,且排名靠前的都是一些非常简单的纯数字组合。 后台API接口存在该缺陷可能会导致系统权限失陷。在某数据泄露事件中,威胁猎人情报研究员多次发现由不法分子流传出来的管理后台截图,初步判断攻击者就是利用弱密码缺陷,暴破出了登录后台的账号密码。 安全建议: 1)在用户注册、登录、密码重置等场景中对密码复杂度进行检查,建议密码长度不低于8位,且包含大小写字母、数字及特殊符号; 2)密码不允许设置为账号、邮箱、生日等关联信息; 3)对于高权限账号,建议引入一段时间内强制修改密码的机制。 3、敏感数据过度暴露 「敏感数据过度暴露」指API接口不加任何限制或过滤,把后端存储的敏感数据返回到前端,一旦被黑产攻击,会带来严重的数据泄露问题。 威胁猎人情报实验室经研究发现,存在敏感数据过度暴露缺陷的API,往往出现在企业的信息公示页面上。虽然页面只展示了必要信息和脱敏信息,但背后的API接口却返回了大量不必要的明文敏感数据,部分API接口一次性返回几百甚至上千条用户的涉敏数据。 以某互联网公司营销活动为例: 某互联网公司营销活动的中奖公示页面上,只展示了中奖用户的头像、昵称、城市和脱敏手机号,但API接口却返回了很多页面没有展示的敏感数据,包括中奖人的真实姓名、收货地址、明文手机号等。公示的中奖信息任何人都可以查看,极易被不法分子获取并利用。 另一个关于API敏感数据过度暴露的真实例子: 在某数字化转型企业官网的供应商公示页面上,只展示了供应商的公司名、公司图片、营业执照等基本信息,但API接口却返回很多无需公示的非常敏感的个人隐私数据,包括供应商法人的身份证号、手机号、紧急联系人等。这些敏感数据被不法分子窃取后,不仅会危害到供应商法人的个人安全,也会给企业数字化转型带来阻力和打击。 安全建议: API接口要对返回到前端的敏感数据进行严格的过滤,只返回前端需要的数据。 4、错误提示不合理 「错误提示不合理」指API接口返回的错误提示,会无意间暴露用户的注册账号、手机号、邮箱等敏感数据。从2022年的审计结果来看,错误提示不合理依然被黑产广泛应用于扫号攻击当中,威胁猎人情报研究员发现了多家金融借贷平台的API接口遭受黑产团伙攻击,导致平台大量用户手机号泄漏。 以某金融借贷平台API攻击事件为例: 威胁猎人情报研究员对攻击流量分析发现,在用户发起借贷申请时会引导用户先填入手机号进行注册。点击申请后,前端会根据接口返回的值,向用户返回不同的提示(如下所示)。 不少攻击者利用这一点实施扫号攻击,在接口参数中传入不同的手机号,再通过接口返回值 (True/False)进行筛选,从而获取到大量平台注册用户的手机号,批量攻击存在错误提示不合理的API接口。如果不能及时发现并阻断攻击,黑产完全可以遍历完11位手机号,从而获取到平台所有用户的注册手机号。 安全建议: 1)针对登录、注册、验证码发送、密码找回等接口的错误提示信息进行模糊化处理,比如返回“用户名或密码不正确”; 2)针对上述接口,对于调用量过大及调用频率过高等异常行为加强监控。 5、安全配置不合理 「安全配置不合理」指由于开发或运维人员的疏忽,导致对外暴露不应公开的API接口,使用旧版本存在漏洞的API接口,或接口访问使用默认密码或密钥等问题。 2022年,威胁猎人对部分企业的后台组件和服务进行了安全审计,从审计结果来看,安全配置不合理这个缺陷普遍存在,其中不乏SpringBootActuator、Elasticsearch配置错误等较为严重的安全配置错误。 据了解,2022年11月,开源API接口管理平台YApi曝出执行任意命令高危漏洞,其中一个重要原因就是使用了默认的密钥,导致攻击者可以成功获取到系统权限,如图所示: 安全建议: 1)全面排查使用的组件/服务的版本,尽量升级到最新版本; 2)全面检查配置是否正确,避免出现组件/服务暴露未授权访问API,避免使用默认密码或秘钥。 18 03 API攻击方式分析 三、2022年API攻击方式分析 1、自动化BOT 「自动化BOT」是2022年最为常见的API攻击方式之一,主要出现在营销作弊和流量欺诈场景当中。黑产通过自动化脚本等方式模拟真人操作,伪造出完整的业务流程,进而按照真实的业务访问顺序攻击多个API接口。 以营销作弊场景的API攻击为例: 专业的黑产团伙往往具备丰富的攻防对抗经验,其发起的自动化BOT攻击,从流量和行为上不会出现明显异常,很难识别出是真人还是机器人。因此,对于自动化BOT的攻击方式,我们需要从海量的接口访问数据中,将其和正常用户的请求区分开来。 自动化BOT攻击主要包括以下几个识别维度: 2、扫号攻击 「扫号攻击」指黑产团伙以“注册、登录、找回密码”等API接口为目标,通过注册、登录等接口的返回值,如“账号已存在”或“账号不存在”等来判断某个账号(用户名、邮箱、手机号等)是否在该平台注册过。黑产团伙通过遍历11位手机号,就可以筛选出平台所有注册用户的手机号,这些数据一旦在黑市上出售,手机号主就会遭受到电销骚扰甚至电话诈骗。 在API安全缺陷分析中提到,如果接口存在错误提示不合理的缺陷,很可能会遭到黑产团伙的扫号攻击。 金融行业是扫号攻击的重点行业,一方面这些数据会卖给金融中介或其他平台的推广人员用于“精准营销”“精准获客”;另一方面这些数据也会卖给诈骗团伙实施精准诈骗,最典型的套路就是确认受害人在某个金融平台借贷后,打电话诱导受害人以“保证金”、“服务费”、“手续费”等名义往犯罪分子控制的银行账户打款。 威胁猎人Karma情报平台在2022年捕获到了多起针对金融借贷平台API接口的扫号攻

你可能感兴趣

hot

威胁猎人情报报告:恶意软件

信息技术
splunk2021-04-28
hot

威胁猎人情报报告:数据泄露

信息技术
splunk2021-07-06