1 2目录Contents前言..............................................................................................................3一、2022年API安全风险概况.....................................................................5二、2022年API安全缺陷分析...................................................................10三、2022年API攻击方式分析...................................................................19四、2022年值得关注的API攻击案例........................................................271、线上政务平台的API攻击案例.......................................................................272、金融行业的数据泄露案例...............................................................................293、互联网社交平台的API攻击案例..................................................................314、智慧停车平台的数据泄漏案例.......................................................................33五、安全建议..............................................................................................37 3前言近年来，数字化浪潮与疫情交织，企业业务线上化被按下了“快进键”。数字化与线上化趋势下，API接口作为应用连接、数据传输的重要通道，呈现大规模增长趋势，API应用的增速与其安全发展的不平衡，使其成为恶意攻击的首选目标，围绕API安全的攻防较量愈演愈烈。威胁猎人长期致力于API安全的研究，重点关注全网针对API攻击的各类黑灰产情报。《2022年API安全研究报告》显示，API安全已然成为了当下企业面临的最严峻网络安全挑战之一：1、2022年平均每月遭受攻击的API数量超21万，其中“营销作弊”场景在API攻击的主要场景中占比最大，金融和政务平台成为黑产攻击API并窃取数据的重要目标；2、2022年，互联网、政务、金融等各行业发生了多起因API安全防护不当引起的API攻击及数据泄漏事件：如线上政务平台的业务API遭黑产攻击，公民隐私数据被爬取；社交平台面临大量扫号、撞库等攻击，大量用户账号被黑产贩卖并用于色情、赌博、诈骗等引流推广。威胁猎人《2022年API安全研究报告》基于Karma情报平台捕获的API攻击风险，对过去一年的API安全现状和攻击趋势进行了分析，梳理了2022年较为常见的API安全缺陷、API攻击方式，并结合API安全案例给出相应的防御建议。 401API安全风险概况01 5一、2022年API安全风险概况1、2022年平均每月遭受攻击的API数量超21万从威胁猎人Karma情报平台捕获到的攻击流量来看，2022年全年平均每月遭受攻击的API数量超过21万，第二季度（4-6月）遭受攻击的API数量达到高峰，月均攻击数量超过27万。图：2022年1-12月遭受攻击的API数量2、API攻击主要集中在四大场景，营销作弊场景占比最大从API遭受攻击的场景来看，主要集中在营销作弊、账号风险、数据窃取和流量欺诈四大场景，其中，营销作弊场景攻击量近乎占总攻击量的一半。此外，虚假账号、账号盗取等一系列账号风险问题占比高达20%，成为第二大常见API攻击场景。 6图：API攻击的常见场景占比3、API攻击遍布各行各业，金融和政务平台是黑产攻击API并窃取数据的重要目标图：2022年API攻击的主要行业 7从2022年API攻击的行业分布数据来看，热度最高的是数字藏品行业，2022年初开始，黑产针对数字藏品活动接口的攻击快速激增，并在2022年Q2达到高峰。值得关注的是，威胁猎人情报研究团队通过分析2022年API攻击流量，发现有多个金融和政务平台遭受大规模攻击，黑产通过金融或政务平台有安全缺陷的API非法爬取大量涉及公民隐私、金融业务办理等敏感数据。黑产通过贩卖金融行业的用户数据可以获取高额利益，包括但不限于出售给中介“精准”揽客、出售给犯罪分子实施诈骗等；政务平台的API接口则承载了海量公民隐私数据，如身份证、住址、医保社保等敏感信息，也是黑产疯狂攻击的对象。此外，游戏、社交、电商、制造等行业的API接口也遭到黑产的大规模攻击，具体如下所示：游戏：游戏行业API接口被攻击的主要场景是账号风险问题。黑产长期对注册、登录、找回密码等接口，发起扫号、撞库和暴破攻击，盗取玩家账号和虚拟资产。其中针对某些热门游戏的全网攻击规模达到数亿次。社交：社交平台API接口被攻击的主要场景是流量欺诈问题。黑产通过攻击平台的业务接口，制造虚假阅读量、点赞量、评论等。网络水军可借此控制舆情，引流团伙则借此给赌博、诈骗等网络犯罪行为引流。 8电商：电商平台面临着营销作弊以及商家刷单、黄牛抢购等流量欺诈问题。尤其每年的双11，双22等电商节日，以及疫情期间口罩、抗原等热门商品的抢购时段，各家平台的API接口往往会遭受到黑产的大规模攻击。制造：汽车、家电等传统制造业在2022年进一步深化数字化转型，其线上业务的API接口也被黑产盯上，带来了营销作弊、数据窃取等安全问题。 902API安全缺陷分析 10二、2022年API安全缺陷分析API攻击事件频发，其根本原因仍是API存在安全缺陷。威胁猎人基于API安全管控平台2022年流量审计结果，从危害性、可利用性、普遍性三个维度，梳理了企业需关注的五大API安全缺陷。注：极高＞高＞中高＞中1、未授权访问从2022年的审计结果来看，「未授权访问」依然是危害性最大的API安全缺陷之一。API存在未授权访问缺陷，可能会导致系统权限失陷。威胁猎人情报研究员曾在2022年Q1发现某公司内部系统的API接口，该接口开放了外网访问且访问无需任何授权，传入任意账号都可以获取到该账号的密码。 11这属于非常严重的安全漏洞，一旦遭到攻击，攻击者可轻易获取到管理员的账号密码，并拿到系统的最高权限。该缺陷也可能会引发大规模数据失窃。威胁猎人在2022年Q3对48家银行信用卡业务的API接口进行安全评估，发现至少有20家银行的API接口存在未授权访问缺陷：在未经授权的情况下，可以查询到任意用户的信用卡办理信息，而黑产团伙也利用该缺陷对多家银行的API接口发起了大规模的自动化攻击，批量窃取用户隐私信息。安全建议：1）除非资源完全对外开放，否则访问默认都要授权，尤其是访问用户的资源或者受限制资源；2）通过白名单的方式来严格控制无需授权的API接口的访问。 122、允许弱密码「允许弱密码」是危害性、普遍性和可利用性都非常高的一种缺陷，是黑产盗取账号的主要手段之一。尽管很多安全开发规范都有提到密码设置需满足一定的强度，但从2022年的整体情况来看，仍有不少的API接口，甚至是部分管理后台的登录接口，存在允许弱密码的缺陷。API接口存在允许弱密码的缺陷容易导致严重的账号风险。以某游戏平台为例，该平台由于存在弱密码缺陷，遭受到黑产团伙长期撞库和暴破攻击，被黑产成功盗取的账号中超过61%是弱密码，且排名靠前的都是一些非常简单的纯数字组合。后台API接口存在该缺陷可能会导致系统权限失陷。在某数据泄露事件中，威胁猎人情报研究员多次发现由不法分子流传出来的管理后台截图，初步判断攻击者就是利用弱密码缺陷，暴破出了登录后台的账号密码。 13安全建议：1）在用户注册、登录、密码重置等场景中对密码复杂度进行检查，建议密码长度不低于8位，且包含大小写字母、数字及特殊符号；2）密码不允许设置为账号、邮箱、生日等关联信息；3）对于高权限账号，建议引入一段时间内强制修改密码的机制。3、敏感数据过度暴露「敏感数据过度暴露」指API接口不加任何限制或过滤，把后端存储的敏感数据返回到前端，一旦被黑产攻击，会带来严重的数据泄露问题。威胁猎人情报实验室经研究发现，存在敏感数据过度暴露缺陷的API，往往出现在企业的信息公示页面上。虽然页面只展示了必要信息和脱敏信息，但背后的API接口却返回了大量不必要的明文敏感数据，部分API接口一次性返回几百甚至上千条用户的涉敏数据。 14以某互联网公司营销活动为例：某互联网公司营销活动的中奖公示页面上，只展示了中奖用户的头像、昵称、城市和脱敏手机号，但API接口却返回了很多页面没有展示的敏感数据，包括中奖人的真实姓名、收货地址、明文手机号等。公示的中奖信息任何人都可以查看，极易被不法分子获取并利用。另一个关于API敏感数据过度暴露的真实例子：在某数字化转型企业官网的供应商公示页面上，只展示了供应商的公司名、公司图片、营业执照等基本信息，但API接口却返回很多无需公示的非常敏感的个人隐私数据，包括供应商法人的身份证号、手机号、紧急联系人等。这些敏感数据被不法分子窃取后，不仅会危害到供应商法人的个人安全，也会给企业数字化转型带来阻力和打击。 15安全建议：API接口要对返回到前端的敏感数据进行严格的过滤，只返回前端需要的数据。4、错误提示不合理「错误提示不合理」指API接口返回的错误提示，会无意间暴露用户的注册账号、手机号、邮箱等敏感数据。从2022年的审计结果来看，错误提示不合理依然被黑产广泛应用于扫号攻击当中，威胁猎人情报研究员发现了多家金融借贷平台的API接口遭受黑产团伙攻击，导致平台大量用户手机号泄漏。以某金融借贷平台API攻击事件为例：威胁猎人情报研究员对攻击流量分析发现，在用户发起借贷申请时会引导用户先填入手机号进行注册。点击申请后，前端会根据接口返回的值，向用户返回不同的提示（如下所示）。 16不少攻击者利用这一点实施扫号攻击，在接口参数中传入不同的手机号，再通过接口返回值（True/False）进行筛选，从而获取到大量平台注册用户的手机号，批量攻击存在错误提示不合理的API接口。如果不能及时发现并阻断攻击，黑产完全可以遍历完11位手机号，从而获取到平台所有用户的注册手机号。安全建议：1）针对登录、注册、验证码发送、密码找回等接口的错误提示信息进行模糊化处理，比如返回“用户名或密码不正确”；2）针对上述接口，对于调用量过大及调用频率过高等异常行为加强监控。 175、安全配置不合理「安全配置不合理」指由于开发或运维人员的疏忽，导致对外暴露不应公开的API接口，使用旧版本存在漏洞的API接口，或接口访问使用默认密码或密钥等问题。2022年，威胁猎人对部分企业的后台组件和服务进行了安全审计，从审计结果来看，安全配置不合理这个缺陷普遍存在，其中不乏SpringBootActuator、Elasticsearch配置错误等较为严重的安全配置错误。据了解，2022年11月，开源API接口管理平台YApi曝出执行任意命令高危漏洞，其中一个重要原因就是使用了默认的密钥，导致攻击者可以成功获取到系统权限，如图所示：安全建议：1）全面排查使用的组件/服务的版本，尽量升级到最新版本；2）全面检查配置是否正确，避免出现组件/服务暴露未授权访问API，避免使用默认密码或秘钥。 1803API攻击方式分析 19三、2022年API攻击方式分析1、自动化BOT「自动化BOT」是2022年最为常见的API攻击方式之一，主要出现在营销作弊和流量欺诈场景当