1、12目录前言.3一、API 风险概况.41、网络攻击持续高发，API 攻击量月均超 25 万.42、营销作弊仍是主要 API 攻击场景，数字藏品被攻击热度依旧高涨.43、恶意爬虫针对 API 进行破解和伪造，房源、招聘等信息成重点爬取对象.54、利用 API 非法窃取数据，数字政务成为重点攻击目标.6二、API 安全缺陷分析.71、未授权访问.82、允许弱密码.93、错误提示不合理.104、云服务配置错误.11三、API 风险案例分析.121、数字政务平台 API 风险案例.122、智慧停车平台 API 风险案例.133、API 接口验证码泄露风险案例.16四、结语.173前言随着互联网技术的

2、快速发展，API 作为连接服务和传输数据的核心通道，需求正大量增长，API 在企业的发展过程中也扮演着越来越重要的角色。然而，API 巨大价值的背后也同时隐藏着不可忽视的安全风险。根据永安在线2022 年 Q2 API 安全研究报告（下文简称报告）数据显示，2022 年 Q2 季度 API风险态势依旧严峻，针对 API 的攻击持续高发，被攻击的 API 数量月均超过 25 万，相比 Q1 明显增长；API 攻击波及到政务平台、智慧停车、数字藏品等多个行业。Gartner 曾预测，“到 2022 年，API 将成为网络攻击者利用最频繁的载体，而通过攻击 API 可以非授权使用企业的应用数据”。在

3、 Q2 季度，永安在线研究团队也监测到了一系列因 API 安全防护不到位而发生的数据泄露事件，如多地政务系统遭恶意攻击，攻击者对政务系统中有缺陷的 API 进行攻击，从而获取公民身份证、手机号、姓名、住址等个人隐私信息，永安在线追溯到此类攻击均出自于同一个黑产团伙；多个智慧停车平台因查询缴费 API 接口均存在安全缺陷而被攻击，攻击者大规模爬取停车信息以获取个人隐私行踪。面对越来越多的 API 攻击以及由此导致的数据泄露风险，企业除了已有的防御体系外，也需要针对性地构建 API 安全防护体系，其中风险情报是重要的组成部分，基于情报及早感知及时防御，从而保障企业及其用户的数据安全。永安在线长期致

4、力于业务反欺诈和 API 安全的研究，通过全网布控+风险感知技术快速捕获 API 风险，并由情报专家分析并提取 API 安全情报和风险态势，整合形成API 安全研究系列报告。该系列报告围绕每个季度 API 风险态势，全面解析 API 攻击趋势、主要攻击场景以及受攻击行业，并结合 API 风险案例给出相应的防御建议。希望借此报告，帮助企业在解决 API 安全难题中提供新视角、新思路和新方法，助力企业在数字化浪潮中健康、安全、稳定发展。该系列报告目前已发布一期：2022 年 Q1 API 安全研究报告4一、API 风险概况本章节基于永安在线 Karma 情报平台捕获到的针对 API 的自动化攻击工

5、具、攻击流量等数据进行分析，对 2022 年 Q2 的 API 安全风险概况进行客观的展示。1、网络攻击持续高发，API 攻击量月均超 25 万从 Karma 情报平台捕获到的数据来看，2022 年 Q2 遭受攻击的 API 数量月均超过了 25 万，相比 Q1 大幅增加，其中，5 月份的攻击数量更是达到了 29.4 万。2、营销作弊仍是主要 API 攻击场景，数字藏品被攻击热度依旧高涨永安在线情报研究人员根据捕获到的针对 API 自动化攻击的工具名称做热词统计，从图中可以看到：1）“邀请”“抢购”“注册”“捡漏”等围绕营销活动的作弊攻击工具数量最多的，意味着在 Q2 针对API 的攻击主要集

6、中在营销作弊场景；52）“数藏”“ibox”“元宇宙”等与数字藏品相关的工具仍占据不少，可见针对数字藏品的攻击热度依旧高涨。此类自动化攻击会带来大量的虚假用户，短期内似乎“促进”了用户增长，但这种虚假繁荣会严重阻碍企业甚至行业的健康发展，企业需要引起重视，及早发现及早治理。(注：感兴趣的读者可以阅读 Q1 报告中详细的案例分析。)3、恶意爬虫针对 API 进行破解和伪造，房源、招聘等信息成重点爬取对象恶意爬虫是企业核心数字资产被黑产或竞品窃取的主要方式之一。通过对 Q2 捕获的恶意爬虫攻击流量进行分析，我们发现除了传统的网页爬虫之外，还存在大量破解和伪造接口协议的 API 爬虫。其中，房地产、

7、招聘、出行等行业是这些恶意 API 爬虫重点攻击行业，房源、招聘、机票等信息成为了重点爬取对象。6相比于传统的网页爬虫，API 爬虫更加难以检测和防范，因为传统的网页爬虫使用 PhantomJS、Selenium等浏览器自动化技术的网页爬虫，可以通过检测 webdriver 等方式来进行识别；而 API 爬虫通过破解协议，其发起的请求和正常的请求从内容上可以做到无任何差别。同时，这些爬虫基本都会通过代理 IP、秒拨 IP平台获取大量用于攻击的 IP 资源，从而绕过风控策略中针对 IP 请求频率的限制，以及通过打码平台绕过图片、滑块等人机识别验证码。恶意 API 爬虫对于企业反爬工作来说，无疑提

8、出了更大的挑战。4、利用 API 非法窃取数据，数字政务成为重点攻击目标通过 Karma 情报平台，永安在线情报研究团队在 Q2 发现了一个非法窃取数据的大型网络犯罪团伙，该团伙利用政企单位线上业务 API 接口存在的缺陷，开发了数十款自动化攻击工具，主要针对政务平台、金融行业以及通信行业，非法窃取企业用户和公民个人隐私数据。其中各地的数字政务平台是该团伙的重点攻击目标，在 Q2 就有超过 30 多个的数字政务平台遭受恶意攻击。7永安在线研究团队分析，政务平台、金融行业和通信行业遭受 API 攻击的共性原因为：大部分平台的 API接口在设计上都存在安全缺陷，因此很容易被黑产恶意利用，导致大量用

9、户姓名、地址等敏感信息被泄露。（详情可查看第三章节关于数字政务的案例分析。）二、API 安全缺陷分析API 存在安全缺陷是导致 API 攻击的主要原因。本章节基于永安在线 API 安全管控平台 Q2 的流量审计结果，从危害性、可利用性、普遍性三个维度，列出了 Q2 需要引起重视的四类 API 安全缺陷。81、未授权访问未授权访问，属于OWASP API Security Top 10中排名第一的“API 1：Broken Object LevelAuthorization（失效的对象级别授权）”，是危害最大的 API 安全缺陷之一，一旦被利用往往会导致严重的数据泄露。前文提到的非法窃取数据的犯

10、罪团伙，在攻击中就是利用了 API 接口的未授权访问缺陷，在接口请求中填入他人的账号、身份、属物等信息，在未取得任何授权的情况下，非法获取到他人的手机号、身份证、地址等敏感信息。安全建议：1）除非资源完全对外开放，否则访问默认都要授权，尤其是访问用户的资源或者受限制资源；2）通过白名单的方式来严格控制无需授权的 API 接口的访问。92、允许弱密码允许弱密码，属于OWASP API Security Top10中排名第二的“API 2：Broken Authentication（失效的用户身份认证）”。弱密码缺陷是黑产盗取账号的主要手段之一，从 Q2 捕获的攻击数据中，我们发现了大量的撞库和密

11、码暴破攻击，其中就存在弱密码导致被黑产成功登录账号的情况。攻击目标以游戏公司，以及海外的一些数字钱包、数字银行平台为主，这些账号被黑产控制后，会在极短的时间把里面的资产洗劫一空。安全建议：1）在用户注册、登录、密码重置等相关场景中，对输入密码复杂度进行检查，建议密码长度不低于 8 位，且包含大小写字母、数及特殊符号；2）密码不允许设置为重复字符串、邮箱、生日等关联信息；3）引入一段时间内强制修改密码机制。103、错误提示不合理错误提示不合理，在 Q1 的报告中我们没有将其归于OWASP API Security Top 10的某个风险，经过谨慎的考虑，我们认为其属于“API 3:Excessi

12、ve Data Exposure（过度的数据暴露）”。主要基于以下两点原因：1）移动互联网时代，绝大多数平台的账号就是用户的手机号，不合理的错误提示，会暴露手机号在哪些平台注册过，这属于个人的隐私数据，是没必要且不应该暴露的；2）该缺陷已经被黑产广泛运用于“扫号”（遍历手机号）攻击中。筛选出来的手机号，一方面可以提高黑产实施进一步攻击（撞库、密码暴破等）的效率，另一方面，黑产也会在黑市上出售这些信息，导致手机号主遭受广告营销骚扰甚至电话诈骗。虽然很多企业对注册和登录 API 接口的错误提示信息做了模糊处理，如“账号或密码错误”，使得黑产无法进行“扫号”。但黑产还会通过其他一些 API 接口，如

13、短信验证码发送接口、密码找回接口等寻找突破口。下图就是黑产利用某个奢侈品交易平台的密码找回接口，大规模实施“扫号”攻击：如果手机号未注册，提示“该账户不存在”；如果注册过，则返回执行下一步的路径，黑产据此就能暴破出平台上所有注册用户的手机号。11安全建议：1）针对登录、注册、验证码发送、密码找回等接口的错误提示信息进行模糊化处理，比如返回“用户名或密码不正确”；2）针对上述接口，对于调用量过大及调用频次过高等异常行为加强监控。4、云服务配置错误云服务配置错误，在OWASP API Security Top 10中属于“API 7：Security Misconfiguration（安全配置错误

14、）”。在云服务广泛运用的同时，由于开发或运维人员的疏忽，导致对外暴露了不应公开的云服务 API 接口，攻击者通过这些 API 接口，可以轻易获取敏感数据或执行敏感操作。永安在线 API 安全管控平台在 Q2 针对常用的云服务及组件，其可能存在的配置错误缺陷，进行了全面的梳理和审计。从审计结果来看确实存在不少问题，比如一些会造成严重危害的配置错误仍然存在于部分企业后台的云服务当中。其中比较典型的有：Spring Boot Actuator 配置错误缺陷：Actuator 是 Spring Boot 提供用来对应用系统进行监控的功能模块，使得开发者可以很方便地对应用系统某些监控指标进行查看、统计等

15、。如果开发人员对Actuator 的进行了错误的配置，或者使用了较低的版本（默认存在未授权访问），攻击者可直接通过 Actuator 的 API 接口获取到应用系统中的监控信息，导致信息泄露，甚至数据库、服务器被接管。Elasticsearch 配置错误缺陷：Elasticsearch 是一个基于 Lucene 库的搜索引擎，在 Elasticsearch 7.x下，默认允许未授权访问。如果开发者使用了该版本的 Elasticsearch，且进行了错误的配置，攻击者可直接通过 Elasticsearch 的 API 接口获取到敏感数据，甚至可以对数据进行删除和篡改。安全建议：1）全面排查使用的

16、组件/服务的版本，尽量升级到最新版本；2）全面检查配置是否正确，避免出现组件/服务暴露未授权访问 API。12三、API 风险案例分析1、数字政务平台 API 风险案例数字政务线上化趋势加深，API 安全风险随之而来近年来，政务平台一直在追求业务转型，由传统行业转向互联网+以及云业务发展，许多 API 接口由内网转向外网，由此造成数据安全风险敞口，这些接口一旦遭受恶意探测与爬取，将造成大量的敏感信息泄露。近期，永安在线 API 风险情报平台就监测到针对多个政务系统的恶意攻击事件，攻击者利用政务系统注册、查询等业务场景存在 API 逻辑缺陷进行攻击，从而获取用户身份证、手机号或姓名、住址等个人隐

17、私信息。通过对多起政务系统攻击事件进行溯源分析发现，这些攻击均出自于同一个黑产团伙。从该黑产的作恶流量来看，目前这个黑产团伙仍在对多个省份的政务系统进行攻击，其中包括教育、医保、疾控等多个政务行业。数千万用户的个人信息有可能因此被泄露，其中包括公民手机号、个人身份证、医保信息、家庭信息等敏感信息。案例 1：以某市医保政务平台为例，永安在线监测到不需要任何授权下，攻击者在 API 请求中填入身份证号，即可获取对应用户的医保信息，包括姓名、地址、医保缴纳情况等。黑产团伙攻击后执行返回的结果而造成这种数据泄露的原因正是 API 自身的安全隐患，由于该平台开放的数据查询接口没有做严格的身份校验和访问控

18、制，攻击者通过修改请求参数即可获取到他人的医保信息。13案例 2：永安在线研究团队发现某地区的新冠疫苗接种信息查询后台，无需任何授权的情况下，攻击者在 API 请求中填入身份证号，就能查询到用户的姓名、手机号等隐私信息。政务系统紧密联系民生，平台上保存着海量的公民隐私数据，这些信息包括姓名、电话、地址、身份证号等个人隐私信息，一旦被泄露，就很有可能被不法分子利用，造成不可估量的严重后果。因此，政务平台的 API 安全防护已经是势在必行，必须加强政务系统的安全保障措施，确保公民信息的安全。安全建议：1、限制政务平台信息查询的接口只有登录后的用户才可以查询，并且只有当前用户绑定的身份证与查询的身份

19、证一致时才能够查到用户个人信息；2、如不可避免直接通过身份证查询用户个人信息，建议该接口不要暴露到互联网，只允许内网访问，并且限定人员的访问权限，做好日志记录。2、智慧停车平台 API 风险案例智慧停车信息泄露严重，API 安全防护刻不容缓近几年，智慧停车平台蓬勃发展，让城市生活更加便利的同时，随之而来的安全问题也逐渐暴露。14案例：永安在线研究团队从蜜罐监测到的流量中，发现大量针对多个智慧停车平台的攻击行为，而这些智慧停车平台覆盖了市民能接触到的大多数停车场。通过分析发现，这些平台的查询缴费 API 接口均存在未授权访问缺陷，攻击者利用该缺陷爬取了大量的用户停车信息。以其中一个被攻击的平台为

20、例，黑产团伙通过代理 IP 平台频繁切换 IP，对该平台的查询缴费API 接口进行持续攻击，在输入车牌号信息后，如车辆无入场，返回“车辆未入场”；如车辆有入场，则会返回该车辆相关停车信息，包括停车时间、地点、资费情况等。攻击代码片段：15也就是说，黑产团伙利用该 API 缺陷，任意输入一个车牌号，在不需要车主授权的情况下，就可以查询到车辆停在哪个停车场、入场时间等信息。这些信息往往会被黑产在黑市上进行售卖并获利，比如近期在黑产 TG 群里，就有卖家提供车辆信息、定位等查询服务。而别有用心的犯罪分子可以根据这些信息顺藤摸瓜获取到车主的家庭住址、工作单位等，给车主及家人的生命财产安全造成威胁，后果

21、不堪设想。因此，智慧停车平台需要加强自身的安全建设，尤其是针对 API的安全建设。我国现行法律法规也明确要求平台切实履行主体责任，如我国个人信息保护法规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。安全建议：1、限制车辆停车的信息接口需要先进行身份验证，比如绑定微信号、手机号等才可以进行查询；2、对接口查询做好频率限制，比如短时间内单个身份查询的车牌号不能超过 2 个。163、API 接口验证码泄露风险案例短信验证码泄露，身份验证形同虚设短信验证码是移动互联网用户进行注册或登录的重要凭证之一，一旦发生泄露，很有可能会被不法分子恶意利用。一般来说，移动

22、端 App 都支持手机号+短信验证码进行注册或登录，如果短信验证码只会发送到用户所持有的手机上，这是没有安全问题的，然而部分开发人员缺乏安全意识，将短信验证码通过 API 接口直接返回到前端，并在前端进行验证码的比对，黑客可以通过抓包等方式轻易获取到验证码，从而伪造任意用户的身份进行注册和登录。这是一个非常典型的业务逻辑缺陷，在永安在线 API 安全管控平台的 Q2 审计结果中，我们就发现了这样的案例。某教育类 APP 的验证码发送 API 接口，在返回体中泄漏了完整的验证码内容。下图为发送到用户手机上的短信验证码：API 接口返回到前端的响应体中，也出现了同样的验证码：一旦遭受攻击，黑客可以

23、利用泄露的短信验证码登录任意用户的账户，甚至篡改密码，用户则会面临个人信息泄露甚至财产损失的风险。17安全建议：1、避免将短信验证码信息暴露到前端；2、验证码校验功能需要将用户输入的验证码传递到后端，由后端完成校验后将结果返回到前端。四、结语数字时代，安全为本。API 作为程序之间交互的桥梁，承担着数据传输的重大作用，同时也成为了黑客窃取数据的头号目标。从 Q1 到 Q2，针对 API 的攻击趋势是逐渐上涨，由 API 攻击导致的数据泄露事件也越来越多，构建完善的 API 安全防护体系是企业整体网络和数据安全建设的关键环节。永安在线基于风险情报实现 API 资产梳理、敏感数据梳理、API 漏洞检测和 API 攻击感知这四大能力，能够让企业自动化盘点 API 和流动数据资产安全情况，及时感知敏感数据和业务的攻击风险，先于攻击者发现攻击面，为企业的数据和业务安全保驾护航。说明：本报告由永安在线鬼谷实验室独家编写，如需转载、摘编或利用其它方式使用本报告文字或观点请联系永安在线。