《永安在线:2022年Q3API安全研究报告(17页).pdf》由会员分享,可在线阅读,更多相关《永安在线:2022年Q3API安全研究报告(17页).pdf(17页珍藏版)》请在三个皮匠报告上搜索。
1、目录前言.3一、2022 年 Q3API 整体风险态势.41.API 遭受攻击数量每月超 15 万,营销作弊场景占比最高.42.金融和政务平台是黑产攻击 API 并窃取数据的重要目标.53.游戏行业面临严峻的账号风险问题,全网攻击规模过亿.6二、2022 年 Q3 四大 API 安全缺陷分析.71.未授权访问.82.错误提示不合理.93.脱敏不规范.104.允许弱密码.11三、2022 年 Q3API 攻击案例分析.121.游戏平台遭遇专业黑产团伙盗号攻击.122.银行在线业务 API 存在缺陷,遭黑产利用爬取数据.143.数字藏品平台遭受攻击,多个用户数字资产不翼而飞.15四、结语.17前言
2、随着数字化以及互联网技术的快速发展,API 作为应用连接、数据传输的重要通道,需求量正大幅增加。然而,API 应用的增速与其安全发展的不平衡,使其成为企业业务和数据风险的最大敞口。永安在线长期致力于 API 安全的研究,其在 2022 年 Q2 季度的 API 安全研究报告中提到,围绕 API 的攻击持续高发,因 API 安全防护不足而被攻击的事件多不胜数。最新一季报告数据显示,2022 年 Q3 季度 API 整体风险依旧不容轻视:1.Q3 被攻击的 API 数量相比 Q2 有所下降,但每月被攻击的 API 数量仍超过 15 万,涉及游戏、金融、政务、电商、数字藏品等多个行业。2.Q3API
3、 攻击场景与 Q1 和 Q2 类似,营销作弊场景占比最高,其次是账号风险和数据窃取。3.Q3 仍存在大量平台因 API 安全防护不到位而遭受攻击并被窃取数据的事件,如,多家银行在线信用卡业务 API 因存在安全缺陷遭受攻击,大量用户业务办理信息被爬取;游戏平台遭受专业黑产团伙盗号,黑产通过 API 资产探测、扫号、撞库等攻击手法成功盗取大量游戏玩家账号等。面对越来越多的 API 攻击以及由此导致的数据泄露风险,企事业单位 API 安全防护绝不能掉以轻心。除了已有的防御体系外,企业需要针对性地构建 API 安全防护体系,基于风险情报及早感知及时防御。永安在线API 安全研究报告基于永安在线全网布
4、控及风险感知技术捕获到的 API 攻击风险,由情报专家分析并提取 API 安全情报和风险态势,并结合案例给出相应的防御建议。该系列报告目前已发布两期:永安在线 API 安全研究报告(2022 年 Q1)永安在线 API 安全研究报告(2022 年 Q2)一、2022 年 Q3API 整体风险态势1.API 遭受攻击数量每月超 15 万,营销作弊场景占比最高从永安在线 Karma 情报平台捕获到的遭受攻击的 API 数量来看,2022 年 Q3(7-9 月)遭受攻击的数量相比 Q2 有所下降,但均超过 15 万/月,其中 8 月超过 20 万。从攻击场景分布来看,与 Q1、Q2 类似,营销作弊场
5、景占比依旧最高,其次是账号风险、数据窃取,数字藏品依然是营销作弊的热点攻击对象。2.金融和政务平台是黑产攻击 API 并窃取数据的重要目标永安在线情报研究团队通过对 Q3API 攻击流量进一步分析,发现有多个金融和政务平台在Q3 遭受大规模攻击,黑产通过金融或政务平台有安全缺陷的 API,非法爬取大量涉及公民隐私、金融业务办理等敏感数据。金融平台的用户数据,如用户的办理业务、办理时间等,无论是出售给中介“精准”揽客,还是出售给犯罪分子实施诈骗,都可以获取到高额的利益。政务平台的 API 接口则承载了全国各地海量的公民个人隐私数据,如身份证、住址、医保社保等,也是黑产疯狂攻击的对象。金融用户数据
6、和公民个人隐私数据因获利价值高,一直是暗网、TG 群数据交易的“抢手货”,一旦泄漏,将给广大民众的财产甚至人身安全造成严重的威胁,平台也会因安全防护不到位遭受相关法律法规的处罚。3.游戏行业面临严峻的账号风险问题,全网攻击规模过亿永安在线情报研究团队通过对 Q3API 攻击流量进一步分析,在针对平台注册/登录/找回密码等 API 接口的攻击流量中,存在大量针对游戏、社交等平台的扫号、撞库、暴破攻击,其中游戏行业遭受的攻击最为严重,占比超过 50%。某些热门游戏,仅永安在线蜜罐捕获的攻击流量就达到数千万,预计全网攻击规模过亿,这些攻击将给游戏玩家的账号安全带来巨大的风险。(更多详情可查看第三章关
7、于游戏平台被盗号的案例)二、2022 年 Q3 四大 API 安全缺陷分析API 存在安全缺陷仍是导致 API 被攻击的主要原因。本章节基于永安在线 API 安全管控平台 Q3 的流量审计结果,从危害性、可利用性、普遍性三个维度,梳理了企业需关注的API 安全缺陷。下文将结合案例针对每一个缺陷进行详细解释:1.未授权访问从 Q3 的审计结果来看,未授权访问依然是危害性最大的 API 安全缺陷之一。相比Q1 和 Q2,Q3 出现了多起大规模的攻击案例。以银行线上信用卡业务 API 攻击事件为例:永安在线对 48 家银行线上信用卡 API 进行安全评估发现,至少有 20 家银行的信用卡业务API
8、存在未授权访问缺陷,可在未经授权的情况下,查询到任意用户是否在该银行申请了信用卡、申请时间、申请进度、申请卡类型等信息。黑产团伙利用这一缺陷对信用卡业务 API 发起大规模的自动化攻击,批量获取用户信用卡业务办理等相关信息。详情可查看永安在线 8 月发布的38 家银行 API 存在安全缺陷,“开放银行”信息安全建设任重道远。安全建议:1)除非资源完全对外开放,否则访问默认都要授权,尤其是访问用户的资源或者受限制资源;2)通过白名单的方式来严格控制无需授权的 API 接口的访问。2.错误提示不合理错误提示不合理依然被黑产广泛应用于扫号攻击当中,在 Q1 和 Q2 也出现过。Q3 比较典型的案例是
9、金融借贷平台 API 攻击事件:近期永安在线发现了多家金融借贷平台的 API 接口遭受黑产团伙攻击,导致平台大量用户手机号泄漏。对攻击流量分析发现,不少平台的注册接口、登录接口以及密码找回接口存在错误提示不合理缺陷,在接口参数中传入不同的手机号,再通过接口返回值的不同进行筛选,便可以知道到哪些手机号在平台注册过:如果不能及时发现并阻断攻击,黑产完全可以遍历完 11 位手机号,从而获取到平台所有用户的注册手机号。安全建议:1)针对登录、注册、验证码发送、密码找回等接口的错误提示信息进行模糊化处理,比如返回“用户名或密码不正确”;2)针对上述接口,对于调用量过大及调用频率过高等异常行为加强监控。3
10、.脱敏不规范脱敏不规范首次出现在了API 安全研究报告中。从 Q3 审计结果来看,存在大量身份证号脱敏不规范的案例。一般来说,身份证号脱敏至少需要脱敏 6 位,但从审计结果来看,很多平台 API 接口返回体存在脱敏不规范,如某司法平台信息查询接口/shixin/disDetailNew 返回的身份证只脱敏了 4 位:又如某监管平台信息查询接口/fwmh/rest/sgaqrest/getQyaqscglryInfoDetail,返回的身份证虽然表面脱敏了 6 位,但其中 4 位可以从返回的出生日期来获得,因此实际只脱敏了 2 位:脱敏不规范的身份证信息很容易被暴破出来。永安在线情报平台就监测到
11、不少黑产团伙专门编写了自动化的攻击工具,对脱敏身份证号进行暴破。安全建议:1)身份证号码至少脱敏 6 位,建议采用人民银行发布的金融数据安全 数据生命周期安全规范(JR/T 02232021)中的脱敏规则:保留前 12 位,后 6 位用*号代替;2)不建议只脱敏身份证号码中的出生日期这 6 位。4.允许弱密码允许弱密码是危害性、普遍性和可利用性都非常高的一种缺陷。前文提到 Q3 存在大量针对游戏、社交等平台的撞库和暴破攻击,通过对攻击成功的数据进行分析,发现有大部分都是弱密码。以某个游戏平台为例,攻击成功的账号中有超过 61%是弱密码,且排名靠前的都是一些非常简单的纯数字组合:安全建议:1)在
12、用户注册、登录、密码重置等场景中对密码复杂度进行检查,建议密码长度不低于 8位,且包含大小写字母、数字及特殊符号;2)密码不允许设置为账号、邮箱、生日等关联信息;3)对于高权限账号,建议引入一段时间内强制修改密码的机制。三、2022 年 Q3API 攻击案例分析1.游戏平台遭遇专业黑产团伙盗号攻击永安在线情报平台在 Q3 监测到大量针对游戏行业的扫号、撞库等攻击,其中不乏专业黑产团伙的参与。下文以某游戏平台盗号攻击为例:永安在线监测到某游戏平台被进行规模化撞库攻击,通过对攻击行为进一步分析发现,攻击团伙具备极强的 API 资产探测能力和攻防对抗经验,是一个非常专业的团伙。1)在扫号阶段,该团伙
13、找到了该游戏的一个活动接口,该接口存在“错误提示不合理”缺陷:如果传入不存在的账号,会提示“账号输入错误!点确定返回!”如果传入正确的账号,则可以成功领取活动礼包。因此攻击该接口可以筛选出已注册账号。此外,该接口缺乏有效的安全防护措施,有利于黑产发起高频攻击,平均每分钟约发起 20 次的扫号攻击,从而加快筛选账号的进度。2)在撞库阶段,该团伙攻击的是登录接口,一般来说登录接口会有比较严格的安全防护。为避免被平台发现,黑产对接口实施低频撞库,平均 3 到 4 分钟才发起 1 次攻击。3)攻击持续一段时间之后,该团伙找到了一个老的登录接口,由于老接口的限制相对较小,因此黑产的攻击频率明显提升,平均
14、每分钟攻击 5.5 次。4)所有攻击都使用到了动态代理 IP 资源来绕过针对 IP 的限制,平均 1 个 IP 发起攻击的次数不超过 5 次。危害评估:虽然很多游戏平台会通过动态令牌、手机验证码等方式加强玩家的账号安全,但仍然有不少玩家只使用静态密码进行身份验证,从而给盗号团伙可乘之机。黑产盗号成功之后,往往会登录账号查看玩家账号等级、资产、装备等信息(晒号);如果账号不存在二次验证,黑产会在极短的时间将金币、元宝等资产以及值钱的装备进行转移,甚至分解掉不能转移的装备(洗号)。这给玩家造成财产损失的同时,也会给游戏平台口碑和生态造成破坏。安全建议:1)除了注册/登录等接口之外,活动接口的上线也
15、需要经过安全审计并进行相对的安全防护,避免落入安全盲区被攻击者利用;2)借助威胁情报能力建立有效的 API 风险行为基线,有效识别慢速撞库、频繁切换 IP 等不易被感知的攻击行为。2.银行在线业务 API 存在缺陷,遭黑产利用爬取数据随着银行业数字化发展,越来越多的业务支持线上,提供给线上用户使用的 APP、小程序、Web 等均需要 API 进行数据流通,大量 API 暴露在互联网上无疑增加了银行业务风险暴露面。以某银行信用卡在线业务 API 攻击事件为例:某银行信用卡在线业务申卡进度查询,API 接口只需要传入任意身份证号,不需要经过身份验证,便可以查询对应身份人是否有在该银行办理信用卡,以
16、及申请时间、状态、产品等用户信息:黑产通过攻击以下 API 接口,对用户信用卡办理信息实施批量窃取:接口类型接口路径业务入口/CNGCB/ICARD/appsta/getEntry.do人机验证接口/CNGCB/ICARD/subapp/asdp/applicationstatus/renderCaptchaICardAction.action信息查询接口/CNGCB/ICARD/subapp/asdp/applicationstatus/flow.action除了直接攻击信息查询接口外,还会攻击业务入口和人机验证接口。虽然人机验证一定程度上提高了攻击成本,但黑产先访问业务入口获取验证数据(比
17、如图片),通过打码平台自动完成识别后再访问验证接口,从而绕过人机验证。危害评估:公民信用卡办理信息遭窃取之后,犯罪分子可以根据这些信息包装出更加“真实”的诈骗场景和话术,实施精准诈骗,受害者往往更加容易上当受骗。虽然信用卡接口没有直接泄露手机号,但黑产通过攻击其他平台可以获取到手机号,永安在线在之前的报告中曾多次提到数字政务平台遭攻击泄露公民身份证和手机号。安全建议:1)API 资产梳理过程中,对于传输业务敏感数据或用户敏感数据的 API 接口,需要进行完备的安全审计,同时进行严格的安全限制,避免出现未授权访问、越权访问等缺陷导致出现数据泄露问题;2)对于信用卡申卡用户信息查询这类线上接口,可
18、以要求访问者必须先通过手机短信验证码的方式进行身份验证,确保访问者只能查询自己的信息,不能随意查询他人的信息。3.数字藏品平台遭受攻击,多个用户数字资产不翼而飞数字藏品自 2021 年下半年在国内爆火起来,其热度就一直居高不下。2022 年,数字藏品产业更是吸引了海内外众多企业的参与。随着数字藏品的持续火热,黑产针对数字藏品平台的攻击热度也持续高涨。永安在线持续对数字藏品的业务安全保持关注,从 Q1、Q2 和Q3API 攻击行业分布来看,数字藏品行业热度是最高的。除了 Q1 和 Q2 出现的营销作弊场景外,攻击者还找到了其它获利方式:1)利用忘记密码接口存在的未授权访问缺陷,强制修改其他用户的
19、登录密码;2)通过修改后的密码成功登录账号,并转移该账号的数字资产到黑产所持有的多个账号下。缺陷复现如下:可以看到,在接口请求中删除掉 cookie 等身份认证信息,也可以成功修改密码。危害评估:虽然数字藏品在现阶段还属于新鲜事物,但其交易价值却不可低估,一旦被盗有可能给藏品投资者带来巨大的财产损失,如某明星几百万藏品被盗,并在短时间内多次转手。此外,某投诉平台上关于“数字藏品”的投诉中,藏品被盗也是投诉的主要问题之一。安全建议:1)针对忘记密码接口,增加授权验证,比如手机短信验证或邮箱验证等,短信验证码最好在 6 位,和使用数字+字母加大破解难度;2)对于调用量过大及调用频率过高等异常行为加
20、强监控。四、结语API 作为应用程序之间、应用与用户之间交互的桥梁,承载着企业的业务逻辑和大量敏感数据,在数字时代呈爆发式增长,围绕 API 安全的探索必定是当下不可回避的话题,构建完善的 API 安全防护体系是企业数字化发展过程中网络和数据安全建设的关键环节。永安在线API 安全研究报告系列围绕 API 的攻击趋势、API 安全缺陷分析、由 API 攻击导致的数据泄露事件分析,并结合永安在线在 API 安全防护的经验提供相应的防御建议。希望借此报告,为企业 API 安全管理提供新视角、新思路和新方法,助力企业在数字化浪潮中健康、安全、稳定发展。针对 API 面临的威胁,永安在线基于多年在业务风险情报领域的技术积累,打造以 API 资产为中心、以情报技术为核心能力的 API 安全管控方案,通过 API 资产梳理、流动数据梳理、API 漏洞检测和 API 攻击感知等能力,让企业实现自动化盘点 API 及 API 上流动数据资产状态,先于攻击者发现攻击面,及时感知针对业务及敏感数据的攻击风险,为企业的业务和数据安全保驾护航。