安天WEB應(yīng)用安全系列專題

專題一：一套系統(tǒng)四大防護(hù)?安天下一代WAF全方位保障WEB應(yīng)用

專題二：深入真場景賦能多行業(yè) 安天下一代WAF精細(xì)化保障WEB應(yīng)用

本期為安天WEB應(yīng)用安全系列專題第三期：API業(yè)務(wù)安全。

?

01引言

?

根據(jù)創(chuàng)新安全服務(wù)商 Salt Labs 發(fā)布的2023年第一季度《API安全態(tài)勢研究報告》[1]（原文：《 State of API Security Report Q1 2023 》）顯示，94%的受訪企業(yè)表示過去一年在生產(chǎn)系統(tǒng)中遭遇過API安全問題，17%的受訪者表示其所在的企業(yè)組織由于API安全漏洞而導(dǎo)致了數(shù)據(jù)泄露。同時，報告還顯示，在過去的6個月時間里，API攻擊活動數(shù)量快速增長了400%，而其中有78%的攻擊竟發(fā)生在有經(jīng)過初步安全性驗證的 API 上。

?

由此可見，防護(hù)API相關(guān)安全風(fēng)險，刻不容緩。因此，安天WEB應(yīng)用防護(hù)系統(tǒng)（業(yè)務(wù)增強(qiáng)版）提供了一整套基于API 安全的綜合解決方案 —— 安天WAAP-API解決方案（以下簡稱“Antiy WAAP ”）。通過API業(yè)務(wù)的感知及防護(hù)，API數(shù)據(jù)采集及威脅分析，可全方位、多角度、高效率的保障客戶的相關(guān)業(yè)務(wù)安全。

?

02全面感知及防護(hù)客戶API 業(yè)務(wù)

Antiy WAAP 可以通過自學(xué)習(xí)的方式進(jìn)行業(yè)務(wù)識別，發(fā)現(xiàn)客戶資產(chǎn)網(wǎng)站下的API業(yè)務(wù)；通過定義 API 數(shù)據(jù)規(guī)范，檢查 API 業(yè)務(wù)中的數(shù)據(jù)異常問題；對訪問的 API 業(yè)務(wù)進(jìn)行攻擊特征及敏感信息匹配，上報攻擊特征，抹除敏感信息，防止信息泄露，保證客戶API 安全。同時，基于用戶識別的功能，Antiy WAAP可對API 的訪問權(quán)限加以控制，防止異常訪問和越權(quán)訪問情況的出現(xiàn)。

03深度威脅綜合分析助力策略調(diào)整

針對API 相關(guān)攻擊威脅，Antiy WAAP 可及時對訪問服務(wù)器的流量進(jìn)行過濾，采集API 訪問的流量日志、點擊流數(shù)據(jù)日志及 API 攻擊日志，并通過IP、用戶、業(yè)務(wù)等為多維度，進(jìn)行綜合分析及判斷，評估 API 業(yè)務(wù)的受攻擊程度，以便于客戶及時做出策略調(diào)整。

圖1 API安全策略配置圖

04有效支撐客戶達(dá)成對API業(yè)務(wù)的可知、可信、可控

01API 服務(wù)可知

1）API 接口梳理：基于自學(xué)習(xí)對 API 服務(wù)接口進(jìn)行梳理，實時統(tǒng)計接口訪問情況，及時發(fā)現(xiàn)異常狀況；同時通過API 接口參數(shù)學(xué)習(xí)，可自動生成策略，有效防止 0Day 攻擊。

2）API 數(shù)據(jù)規(guī)范檢查：精準(zhǔn)識別常用 XML、JSON 等數(shù)據(jù)格式，精確檢查 API 訪問規(guī)范。
3）API 訪問內(nèi)容攻擊檢測：深入識別 API 訪問的內(nèi)容，深度檢測 API 訪問內(nèi)容威脅。

圖2 XML檢測規(guī)則圖02

02API訪問者可信
1）認(rèn)證信息防護(hù)：對用戶認(rèn)證相關(guān)信息進(jìn)行加密與重放保護(hù)，防止攻擊者對用戶認(rèn)證相關(guān)信息進(jìn)行篡改、竊取與重放，確保用戶認(rèn)證信息的安全存儲與使用。2）認(rèn)證狀態(tài)檢查：追蹤檢查API 訪問用戶的狀態(tài)，實時防止非授權(quán)API訪問。3）權(quán)限異常檢測：系統(tǒng)檢查用戶權(quán)限狀態(tài)，通過用戶識別綁定功能，及時發(fā)現(xiàn)攻擊者試圖通過修改用戶身份相關(guān)的標(biāo)識ID來提升權(quán)限、越權(quán)訪問非法資源的攻擊，確保訪問者權(quán)限可信。

圖3 用戶標(biāo)識配置圖

03API訪問可控

1）訪問用戶管控：基于用戶識別，進(jìn)行用戶訪問控制，杜絕非法訪問風(fēng)險。

2）API服務(wù)管控：通過 API 訪問情況檢查，控制 API 的訪問速度和方式，限制 API 訪問的參數(shù)規(guī)范，發(fā)現(xiàn)異常 API 服務(wù)，禁止僵尸 API 進(jìn)行訪問。

圖4 用戶訪問控制配置圖

05API數(shù)據(jù)采集及威脅分析協(xié)助精細(xì)化安全運(yùn)營

01攻擊者IP維度分析
以攻擊者IP維度為視角，進(jìn)行 API 訪問數(shù)據(jù)分析，統(tǒng)計攻擊者訪問的API 情況與威脅告警，協(xié)助運(yùn)維人員迅速鎖定攻擊范圍，提高溯源效率，精確定位攻擊者及 API 業(yè)務(wù)的受威脅情況。
02業(yè)務(wù)用戶維度分析
以風(fēng)險業(yè)務(wù)用戶為角度，統(tǒng)計風(fēng)險用戶API 業(yè)務(wù)訪問范圍，及越權(quán)獲取的 API 業(yè)務(wù)信息。加強(qiáng)客戶對API業(yè)務(wù)的權(quán)限監(jiān)控，降低攻擊者越權(quán)訪問的風(fēng)險。
03業(yè)務(wù)API維度分析

以 API 業(yè)務(wù)為維度，統(tǒng)計業(yè)務(wù)安全問題較多的網(wǎng)站，通過 Top 排名進(jìn)行展示，以便于客戶可以直觀的識別出現(xiàn)問題最多的API 業(yè)務(wù)，幫助及時對業(yè)務(wù)進(jìn)行維護(hù)和調(diào)整。

圖5?API威脅分析展示圖

06API經(jīng)典攻擊案件解析

01案件簡述
2023年7月，有網(wǎng)友爆料某大學(xué)男生馬某，在讀碩士研究生期間，利用專業(yè)技術(shù)盜取全校學(xué)生個人信息，包括照片、姓名、學(xué)號、籍貫、生日等，并搭建了給全校學(xué)生顏值打分排名的網(wǎng)站。一時激起廣泛關(guān)注討論，給學(xué)校和社會帶來了惡劣影響。

圖6?學(xué)生顏值打分網(wǎng)站截圖（已隱去關(guān)鍵信息）

?

同時，這也是一起利用API攻擊盜取個人信息的安全事件。

02攻擊手段分析

攻擊者通過越權(quán)訪問存放數(shù)據(jù)的API，獲取接口權(quán)限后，再通過代碼爬取“學(xué)生個人信息”數(shù)據(jù)。
03Antiy WAAP 防御措施

事前通過API 權(quán)限監(jiān)控，規(guī)范訪問者對 API 業(yè)務(wù)的訪問權(quán)限，阻斷攻擊者的攻擊路徑；事中通過敏感數(shù)據(jù)防泄漏、反爬蟲等檢測手段，及時發(fā)現(xiàn)數(shù)據(jù)爬蟲行為，抹除敏感信息，最終實現(xiàn)全流程可知、可信、可控的安全閉環(huán)，確保業(yè)務(wù)數(shù)據(jù)安全性，降低數(shù)據(jù)泄露的風(fēng)險。

04有效客戶價值

1）加強(qiáng)客戶對API 業(yè)務(wù)的權(quán)限監(jiān)控，降低攻擊者越權(quán)訪問的風(fēng)險。

2）確保客戶數(shù)據(jù)安全，防止敏感數(shù)據(jù)泄露，保護(hù)企業(yè)公眾形象。

?

07結(jié)語

Antiy WAAP，通過API的感知及防護(hù)和API態(tài)勢分析相結(jié)合的方式，幫助客戶解決API越權(quán)訪問、API合規(guī)性判定、API健康檢測等問題，為客戶提供API業(yè)務(wù)安全保障。
參考資料：

?

[1]?State?of?API?Security?Report?Q1?2023
https://content.salt.security/rs/352-UXR-417/images/SaltSecurity-Report-State_of_API_Security.pdf

?

# 安天青竹智語實驗室簡介 #
“安天青竹智語實驗室”是安天集團(tuán)為保障業(yè)務(wù)應(yīng)用安全成立的實驗室。該實驗室在應(yīng)對傳統(tǒng)WEB應(yīng)用威脅的基礎(chǔ)上，增強(qiáng)API安全防護(hù)和自動化攻擊防御；深度結(jié)合客戶業(yè)務(wù)，發(fā)現(xiàn)邏輯異常、分析用戶行為、追溯攻擊源頭，通過揭示攻擊行為的深層次原因，提早發(fā)現(xiàn)客戶業(yè)務(wù)系統(tǒng)漏洞，為業(yè)務(wù)穩(wěn)定運(yùn)行提供有效防護(hù)。