针对API的攻击正成为黑灰产及黑客的首选，相较于传统窗体和Web页，API承载的数据价值更大、攻击成本更低，通过攻击API来获取高价值数据、进行业务欺诈等成为越来越多非法分子的常规手段。

　　据报道，2021年12月，Apache APISIX被曝攻击者在未授权的情况下可以访问Apache APISIX的API接口；2021年7月，媒体报道领英有超过7亿用户数据在暗网出售，黑客利用领英API下载用户数据；2020年3月，新浪微博被报道因用户查询接口被恶意调用导致APP数据泄露……这些频频爆出的与API相关的安全事件不得不引起人们对API安全的重视。

　　永安在线长期致力于业务反欺诈和API安全的研究，围绕API重点关注全网针对API攻击的黑灰产情报，并基于情报发现API存在哪些安全风险、如何检测和修复风险，以及面对风险应怎样避免出现重大损失。在本报告中，永安在线的API安全现状和攻击趋势进行分析，梳理了该季度典型的API攻击事件并给出防御措施，希望借此引起行业对API安全的重视，进一步推动API安全的发展。

　　2）数据风险：攻击者通过编写恶意爬虫等方式，伪造接口或网页请求，非法获取业务数据或用户数据，进而引发数据泄露风险。

　　3）账号风险：攻击者针对平台的注册/登录接口发起恶意注册、扫号、撞库等攻击行为，从而引发虚假账号、账号盗取等风险。

　　4）流量欺诈：攻击者针对平台发起虚假的业务请求，包括针对电商平台的刷单、黄牛抢购，针对社交平台的水军控评、刷量刷赞等。

　　永安在线情报研究人员分析，从去年至今，数字藏品的热度一直居高不下，越来越多的人投入到数字藏品的交易中。但

　　通过对泄露数据交易论坛、TG群、暗网等渠道进行全方位布控，获取数据泄露的第一手资讯。本章节基于永安在线数据资产泄露风险监测平台获取到的Q1数据泄露数据进行梳理和分析，得出以下结论：

　　通过对部分数据泄露事件进行分析发现，其中有不少数据泄露与API风险有关，详情见第三和第四章节关于API缺陷导致的数据泄露案件分析。

　　永安在线情报研究人员通过进一步分析，发现物流行业涉及的流程节点较多，接触人员广泛，且面单往往是公开显示的，因此存在数据泄露的环节比较多，如快递数据的录入、派发快递等环节都很容易造成数据泄露。在Q1数据泄露事件中有将近100件是因为快递派发环节面单拍摄导致数据泄露。

　　可利用性、普遍性三个维度，梳理需要引起重视的五个API安全缺陷。以下结合案例针对每一个缺陷进行详细解释：

　　虽然返回的不是明文密码，是密码的Md5，但由于密码的强度不高，在实际测试中通过“彩虹表”可还原出管理员的明文密码。这属于非常严重的安全漏洞，一旦遭到攻击，攻击者可轻易获取到管理员的账号密码，并拿到系统的最高权限。

　　1）除非资源完全对外开放，否则访问默认都要授权，尤其是访问用户的资源或者受限制资源。

　　仍有不少的API接口，尤其是一些管理后台登录的API接口，存在着弱密码缺陷。在OWASP API Security Top 10 排名第二的 API 2 : Broken Authentication（失效的用户身份验证）中，也包含了允许弱密码这类缺陷。

　　1）设置密码时，需要对密码强度做要求，比如长度至少8位，字母、数字、特殊符号多种组合等。

　　在Q1审计中发现存在敏感数据过度暴露问题的API接口不在少数，部分API接口一次性返回几百甚至上千条用户的涉敏数据，还有部分API接口返回了一个用户的所有敏感数据，即使有些数据是不需要的。

　　这些中奖信息是公示出来的，任何人都可以查看，很容易被不法分子获取，在黑市上进行售卖，或利用这些信息对中奖人进行诈骗。

　　很多人不太重视URL传输凭证或账号密码问题，甚至不认为是安全缺陷，因此在Q1的审计结果中存在很多这类缺陷的API接口，但这类缺陷还是有挺高的危害性，不应该忽视。在OWASP API Security Top 10排名第二的 API 2 : Broken Authentication（失效的用户身份验证）中也明确指出通过URL传输敏感数据，包括凭证或密码是有问题的：

　　从用户的交互体验上来说，这样的错误提示是没有问题的。但攻击者可以利用这个API接口实施扫号攻击（遍历手机号），从而知道哪些手机号在该APP上注册过。黑产掌握了这些信息，一方面可以提高进一步攻击（撞库、密码暴破等）的效率，另一方面可能会利用这些手机号进行广告营销或电话诈骗。

　　1）针对登录、注册等接口的错误提示信息进行模糊化处理，比如返回“用户名或密码不正确”。

　　2）针对登录、注册等接口，加强对调用量过大或调用频率过高等异常行为的监控力度。

　　你一定听说过，2021年3月11日，一张平平无奇的JPG图片，经过区块链技术处理后变成了数字藏品，最终以6934万美元（折合人民币4.51亿元）的价格在佳士得拍卖成交。自2021年起，国内越来越多的数字藏品发售平台如雨后春笋般涌现，关于数字藏品的讨论遍布于微信群、朋友圈、微博里，甚至是街头巷尾、地铁公交上，无处不在。而数字藏品产业链也逐渐吸引了不少人的投资和购买。

　　数字藏品（NFT）作为一种非同质化代币，得益于数字内容资产化，依托区块链技术保证唯一性、真实性和永久性，以及去中心化的交易模式保证内容创作者的收益等特征，使得交易效率更高、交易成本更低、交易更为活跃，数字资产流动性明显增强。与此同时，由于新兴产业的不规范、监管不足，数字藏品行业存在巨大的非法获利空间，成为黑灰产虎视眈眈的“猎物”。

　　黑产人员发现数字藏品发售平台的商机后，通过职业拉单人寻找相应的开发人员（工具作者），开发人员会对数字藏品平台相关API接口、协议（如注册、登录、验证等）进行研究，破解后开发工具，再通过发卡平台将工具售卖给黑产人员。黑产人员利用工具获取批量账号资源，再自动化抢购待发售数字藏品，并在相关二手平台转卖，最终实现获利。

　　攻击者利用API接口存在的安全缺陷（包括明文传输用户名和密码等接口参数），伪造相关API接口请求，从而套取活动中的奖励。

　　此外，也可以利用黑灰产情报，对营销作弊攻击使用到的黑灰产资源（账号、手机号、IP等）进行识别和阻断。

　　核酸检测结果查询接口只需输入姓名和身份证，无需其他授权就可以查看他人的核酸检测信息。

　　永安在线数据资产泄露风险监测平台Q1捕获到了多起线上政务平台因API接口被攻击导致数据泄露的事件，泄露的信息涉及到公民的手机号、证件照片、工作信息、婚姻信息等，其中最为普遍的是公民手机号信息泄露（本报告上文中也提到泄露的数据类型中，手机号是最多的）。

　　攻击者只需要在接口参数中填入任意公民的身份证，无需其他认证信息，即可获取到该公民的手机号。

　　进一步溯源分析，找到了调用该API接口的入口，属于某市交警的微信公众号，该公众号支持线上交管业务。业务办理的逻辑其实很简单，步骤如下：

　　1）用于界面展示手机号（已在前端脱敏）凯时登录。这里存在的问题是，敏感数据不应该在前端才进行脱敏，在后端就应该完成脱敏，API接口只需返回脱敏后的手机号。安全经验不足的开发人员往往会犯这种错误。

　　3月中旬，永安在线API安全管控平台通过自动化缺陷审计，发现某互联网+校服平台存在敏感数据过度暴露的问题。在平台的“服务企业”一栏中，可以查看到所有的供应商信息：

　　该做法的本意是向大众公示合作的供应商具备良好的生产资质。然而，查询接口返回的信息中，除了需要公示的信息之外，还返回了很多无需公示的信息，其中就有非常敏感的个人隐私数据，包括企业法人的身份证号、身份证正反面照片、手机号、紧急联系人、许可证等。

　　由于这些信息都是公开可访问的，容易被不法分子窃取，从而造成严重的数据安全问题，这不仅给数字化转型的企业造成实际的业务损失，一定程度上也打击了传统企业向数字化转型的信心。

　　API并不是什么新鲜事物，与其相关的安全问题也并非近期才出现，而API安全之所以成为当前业内普遍关注的重要问题，一方面是数字经济时代的互联网业务场景快速爆发，需要大量的API去交互数据，也就是说API数量增多了，承载着数据价值更高了；另一方面，随着业务快速发展，API的迭代和发布周期也随之加快，而当前很多企业“重业务，轻安全”的理念为API埋下了潜在的安全风险。

　　API技术会持续发展，攻击者阴谋阳谋也会日益迭代，围绕API已形成了一个新的攻击面，其安全建设任重而道远。

　　基于黑灰产情报精准发现和拆解攻击者的各种特征和招式，做到更精准的风险感知和更及时的阻断，将是API安全管理的更优解，这也是永安在线一直推崇的API安全建设理念。

　　声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。