淘金网币圈快讯 > 币圈快讯 > 币圈行情软件排行API安全研究报告(20

币圈行情软件排行API安全研究报告(20

币圈快讯 币圈快讯 2022年05月04日

  鬼谷实验室独家编写本报告由永安在线·★▲,数说安全共同发布联合安全419、。用本报告文字或观点请联系永安在线如需转载□=□、摘编或利用其它方式使•▷。

  的数字时代在万物互联◇★,心业务逻辑和敏感数据API承载着企业核,变得越来越普遍在应用环境中。情常态化后特别是在疫,等线上应用蓬勃发展移动办公、在线教育,和数据传输重任的一种轻量化技术API作为能够支撑线上应用连接▲■,业组织的青睐受到国内外企。

  同时与此,为黑灰产及黑客的首选针对API的攻击正成,体和Web页相较于传统窗,值更大、攻击成本更低API承载的数据价,务欺诈等成为越来越多非法分子的常规手段通过攻击API来获取高价值数据、进行业。报道据•○□,年12月2021,况下可以访问Apache APISIX的API接口Apache APISIX被曝攻击者在未授权的情;1年7月202,亿用户数据在暗网出售媒体报道领英有超过7○…●,PI下载用户数据黑客利用领英A▪•◆;0年3月202★▽…,频频爆出的与API相关的安全事件不得不引起人们对API安全的重视新浪微博被报道因用户查询接口被恶意调用导致APP数据泄露……这些•◇●。

  反欺诈和API安全的研究永安在线长期致力于业务,对API攻击的黑灰产情报围绕API重点关注全网针■▷•,安全风险◇◁、如何检测和修复风险并基于情报发现API存在哪些△★▪,样避免出现重大损失以及面对风险应怎。报告中在本,现状和攻击趋势进行分析永安在线的API安全,I攻击事件并给出防御措施梳理了该季度典型的AP▲◆◆,对API安全的重视希望借此引起行业,PI安全的发展进一步推动A。

  针对API的自动化攻击工具、攻击流量进行分析本章节基于永安在线Karma情报平台捕获到的,安全风险概况进行客观的展示对2022年Q1的API。

  遭受自动化攻击的API数量来看从Karma情报平台捕获到的,击的API数量均超过15万2022年1-3月遭受攻,上涨逐月,达到了23.7万其中3月的数量•●▷。

  击场景来看从API攻▼□,风险、账号风险和流量欺诈主要集中在营销作弊、数据。中其★▼○,了一半的API攻击营销作弊场景吸收。

  通过编写恶意爬虫等方式2)数据风险:攻击者,或网页请求伪造接口,数据或用户数据非法获取业务,据泄露风险进而引发数。

  录接口发起恶意注册、扫号▽▷◆、撞库等攻击行为3)账号风险:攻击者针对平台的注册/登,•◇、账号盗取等风险从而引发虚假账号△=。

  对平台发起虚假的业务请求4)流量欺诈◁★:攻击者针☆▼,的刷单、黄牛抢购包括针对电商平台,军控评•◆□、刷量刷赞等针对社交平台的水。

  研究人员分析永安在线情报,年至今从去,度一直居高不下数字藏品的热,到数字藏品的交易中越来越多的人投入。规范▷◆△、监管不足但由于市场不■◇,大非法获利空间数字藏品存在巨▼□,量的抢购软件以此获利黑灰产人员开发了大●▪,品的攻击占比较多因此针对数字藏。于数字藏品的案例分析详情可查看第四章节关。

  济的快速崛起随着数字经■-▪,价值的资产之一数据已成为最有◁•■。务、应用之间数据交互的桥梁API作为数字时代各类服●▲,者瞄准的目标也成为攻击,高价值的数据借此非法获取★■…。的数据泄露事件中近几年频频爆发,攻击导致的就有API☆▲=,非常恶劣且影响,织、用户的合法权益严重损害了企业组,等领域带来巨大风险给经济、政治、社会…=▽。

  期关注全网数据泄露情况永安在线情报研究团队长,群、暗网等渠道进行全方位布控通过对泄露数据交易论坛、TG=▲▽,的第一手资讯获取数据泄露◇○。币圈行情软件排行API安全研究报告(2022年Q1)台获取到的Q1数据泄露数据进行梳理和分析本章节基于永安在线数据资产泄露风险监测平…□=,币圈行情软件排行下结论得出以:

  风险监测平台数据显示永安在线数据资产泄露,640余起数据泄露事件2022年Q1共监测到,200余家涉及企业•=…。

  露事件进行分析发现通过对部分数据泄,露与API风险有关其中有不少数据泄,I缺陷导致的数据泄露案件分析详情见第三和第四章节关于AP。

  露事件所在行业分析通过对Q1数据泄,泄露事件最多物流行业数据,.08%占比43-★;金融行业其次是,%)、银行(占比6▷▲.76%)和保险(占比3.14%)包含金融借贷(占比20☆△■.44%)、证券(占比9.91,0△●□.25%共计占比4=▪△。

  人员通过进一步分析永安在线情报研究,及的流程节点较多发现物流行业涉•=○,员广泛接触人▲●,是公开显示的且面单往往,币圈快讯露的环节比较多因此存在数据泄▽-=,等环节都很容易造成数据泄露如快递数据的录入、派发快递。因为快递派发环节面单拍摄导致数据泄露在Q1数据泄露事件中有将近100件是。

  据类型来看从泄露的数▽▽,及40多种数据类型Q1数据泄露事件涉。多的是手机号其中泄露最△…,和个人地址其次是姓名▽■☆。多电话骚扰和诈骗为什么平时有那么■▪□,手机号信息泄露主要就是因为。

  致API被攻击的主要原因API存在安全缺陷是导▲○。线的流量审计结果本章节基于永安在…=,性、普遍性三个维度从危害性▲□、可利用,五个API安全缺陷梳理需要引起重视的。

  方便管理员查看所有账号信息某公司内部系统可能是为了,上支持传入某个账号在API接口设计,相关信息(包括密码)接口可返回该账号的■…。是但▪★◆,以从外网访问这个接口可,需要任何授权而且访问不,(包括管理员账号)传入任意一个账号,该账号的密码都可以获取到○-▽。

  不是明文密码虽然返回的◁▪,的Md5是密码•◁=,的强度不高但由于密码,”可还原出管理员的明文密码在实际测试中通过■▽□“彩虹表△▼◁。重的安全漏洞这属于非常严,到攻击一旦遭,到管理员的账号密码攻击者可轻易获取■▼,的最高权限并拿到系统…=★。

  范都有提到设置密码时虽然很多安全开发规,一定的强度需要满足,审计结果来看但从Q1的▼○◆,API接口仍有不少的,台登录的API接口尤其是一些管理后,密码缺陷存在着弱。2 : Broken Authentication(失效的用户身份验证)中在OWASP API Security Top 10 排名第二的 API ,弱密码这类缺陷也包含了允许-★△。

  外此◇■•,泄露事件中发现从Q1的数据☆☆,次出现了一些管理后台的截图不法分子流传出来的信息也多,是利用弱密码缺陷初步判断攻击者就○☆,后台的账号密码暴破出了登录•▪◁:

  PI接口不加任何限制或过滤敏感数据过度暴露指的是A,感数据返回到前端把后端存储的敏◁□◆,数据泄露问题这很容易导致。curity Top 10中在OWASP API Se,ive Data Exposure(过度的数据暴露)这个缺陷排在第3位 - API 3 ☆▲●: Excess。

  度暴露问题的API接口不在少数在Q1审计中发现存在敏感数据过■◇,百甚至上千条用户的涉敏数据部分API接口一次性返回几,了一个用户的所有敏感数据还有部分API接口返回,据是不需要的即使有些数。

  的营销活动中某互联网公司,查询的API接口有一个中奖信息,、昵称■▽★、城市、脱敏手机号之外除了返回前端需要展示的头像,本不需要的敏感数据还返回了很多前端根△△,货地址、明文手机号等包括中奖人的姓名、收。

  是公示出来的这些中奖信息,可以查看任何人都,法分子获取很容易被不,进行售卖在黑市上,对中奖人进行诈骗或利用这些信息。

  传输凭证或账号密码问题很多人不太重视URL,是安全缺陷甚至不认为■▽•,在很多这类缺陷的API接口因此在Q1的审计结果中存,有挺高的危害性但这类缺陷还是◁□■,该忽视不应。en Authentication(失效的用户身份验证)中也明确指出通过URL传输敏感数据在OWASP API Security Top 10排名第二的 API 2 : Brok★☆…,码是有问题的包括凭证或密••▽:

  为URL往往可以通过浏览器访问记录◆★■、请求referer为什么在接口的URL中传输凭证或账号密码会有问题呢?因,文件获取到或者日志,地方被突破一旦这些,接获取到登录凭证攻击者就可以直,统权限失陷进而导致系。问记录为例以浏览器访▼▼,1月今年△●,器就被曝出存在严重漏洞苹果的Safari浏览▼=,器历史访问记录泄露会导致用户的浏览。

  登录或者找回密码相关的API接口上错误提示不合理往往出现在账号注册□▷、,也会被忽略很多时候◇★◆。计结果来看从Q1的审□•□,I接口也是较为普遍的存在这个缺陷的AP□◇。

  持手机短信验证码登录某APP的登录页面支,送验证码的API接口填入手机号后会调用发。册过的手机号对于已经注◇☆◆,回信息接口返:

  互体验上来说从用户的交,示是没有问题的这样的错误提。口实施扫号攻击(遍历手机号)但攻击者可以利用这个API接,在该APP上注册过从而知道哪些手机号。了这些信息黑产掌握,(撞库、密码暴破等)的效率一方面可以提高进一步攻击,机号进行广告营销或电话诈骗另一方面可能会利用这些手☆○▽。

  听说过你一定,3月11日2021年,的JPG图片一张平平无奇,理后变成了数字藏品经过区块链技术处,.51亿元)的价格在佳士得拍卖成交最终以6934万美元(折合人民币4。21年起自20,发售平台如雨后春笋般涌现国内越来越多的数字藏品▲▼◇,于微信群、朋友圈◆●、微博里关于数字藏品的讨论遍布,尾、地铁公交上甚至是街头巷△▼,不在无处。吸引了不少人的投资和购买而数字藏品产业链也逐渐。

  作为一种非同质化代币数字藏品(NFT)◆◇,内容资产化得益于数字,一性☆▲、真实性和永久性依托区块链技术保证唯,证内容创作者的收益等特征以及去中心化的交易模式保●■▽,成本更低、交易更为活跃使得交易效率更高、交易,动性明显增强数字资产流-◇□。同时与此★…•,不规范、监管不足由于新兴产业的▪•,巨大的非法获利空间数字藏品行业存在,眈眈的“猎物■■”成为黑灰产虎视□▷■。

  销作弊自动化攻击中在永安在线捕获的营,字藏品企业涉及不少数。人员进一步研究分析永安在线情报研究,经形成了一个完整的黑产链条发现针对数字藏品的攻击已:

  品发售平台的商机后黑产人员发现数字藏,的开发人员(工具作者)通过职业拉单人寻找相应,、协议(如注册★◆、登录、验证等)进行研究开发人员会对数字藏品平台相关API接口,开发工具破解后▽▷,工具售卖给黑产人员再通过发卡平台将☆=★。获取批量账号资源黑产人员利用工具,待发售数字藏品再自动化抢购◁▪,手平台转卖并在相关二,现获利最终实。

  中旬3月,号数藏V1◇●=.0.vmp★■.exe”的自动化攻击工具永安在线Karma情报平台捕获到了一款名为◆…“头,包括明文传输用户名和密码等接口参数)攻击者利用API接口存在的安全缺陷(,PI接口请求伪造相关A,动中的奖励从而套取活。

  界面上从工具☆▲◆,种黑灰产资源的使用可以清晰地看到各◁●◆,绕过人机识别验证码、通过代理IP平台绕过IP风控等包括通过接码平台获取作弊的账号资源、通过打码平台。

  攻击的出现营销作弊,攻击者通过恶意手段占有数字藏品再高价卖出严重破坏了数字藏品交易市场的良性竞争▪◇:,藏品市场的秩序严重破坏了数字,正藏品买家的利益损害交易平台及真,品产业的长远发展也不利于数字藏。

  类攻击对于这,接口进行加固建议对API□▪,攻击门槛以此提高,关键接口参数加密后再传输如像用户名和密码这样的,请求合法性进行校验等增加动态令牌对接口。

  外此,黑灰产情报也可以利用•◆,账号▪-、手机号、IP等)进行识别和阻断对营销作弊攻击使用到的黑灰产资源(☆-▼。

  情以来新冠疫▷-,人员聚集为减少,正常业务办理同时不影响,出了线上政务服务各地政府机关都推,在网上查询和办理各种业务广大民众足不出户就可以。而然,乏有效的授权和认证机制有些业务的API接口缺,罪分子攻击的目标容易成为网络犯▪●。宝”就出现了这样的问题2020年北京△★“健康:

  测照片泄露并流传到网上大肆售卖这个问题导致了大量明星的核酸检。脸识别的认证机制后来该系统加上人,该事件才逐渐平息下来并在公安机关的介入下•★。

  线上政务平台因API接口被攻击导致数据泄露的事件永安在线数据资产泄露风险监测平台Q1捕获到了多起◆△,证件照片、工作信息=▽、婚姻信息等泄露的信息涉及到公民的手机号、,(本报告上文中也提到泄露的数据类型中其中最为普遍的是公民手机号信息泄露,最多的)手机号是。

  月底1△●★,警 V1.2.vmp.exe☆▪”的自动化攻击工具永安在线Karma情报平台捕获到了一款名为◁◁◁“交●•,PI接口(目前已修复)并定位到了被攻击的A。一步分析通过进,员还原了整个攻击过程永安在线情报研究人:

  中填入任意公民的身份证攻击者只需要在接口参数,认证信息无需其他▷●,公民的手机号即可获取到该。代码如下模拟攻击:

  溯源分析进一步,PI接口的入口找到了调用该A◁▼,的微信公众号属于某市交警,办理各种交管业务该公众号支持线上。辑其实很简单业务办理的逻,如下步骤○★◁:

  名和身份证后1)填入姓□▼,信来进行身份验证会提示通过手机短。好的用户体验为了给到比较,出脱敏的手机号页面上会展示,进行确认便于用户:

  机号(已在前端脱敏)1)用于界面展示手•△。的问题是这里存在△▼,在前端才进行脱敏敏感数据不应该,该完成脱敏在后端就应,回脱敏后的手机号API接口只需返。人员往往会犯这种错误安全经验不足的开发•◇▽。

  发送短信2)用于◇□。需要传入手机号发送短信的接口●◇◁,全可以在后端进行但接口的调用完,放在前端不需要,机号暴露到前端从而避免明文手◇■。

  众带来极大的便利线上政务给广大民●□,是大量的个人隐私数据但线上政务的背后往往。过API接口进行访问有哪些数据是可以通,身份验证和授权访问是否需要,脱敏后再返回等哪些数据需要●◆■,设计和严格的审核都需要经过仔细的▽-▷,同时却泄露了个人隐私避免给民众带来便利的。

  和产业变革浪潮中在新一轮科技革命◁▽•,可逆转的时代潮流数字经济已成为不●△■,投身于数字化转型传统行业也纷纷。是但…▪,入和建设方面相对薄弱传统行业在网络安全投,经济的基础设施API作为数字▽▲◇,业务交互和数据传输的重任承载着企业数字化转型的☆▷◇,响着企业数字化转型的进展其安全与否一定程度上影。

  中旬3月,平台通过自动化缺陷审计永安在线API安全管控,在敏感数据过度暴露的问题发现某互联网+校服平台存。务企业”一栏中在平台的“服,有的供应商信息可以查看到所:

  作的供应商具备良好的生产资质该做法的本意是向大众公示合。而然,回的信息中查询接口返,示的信息之外除了需要公,无需公示的信息还返回了很多▷■▽,感的个人隐私数据其中就有非常敏,面照片、手机号、紧急联系人◁▽●、许可证等包括企业法人的身份证号、身份证正反○★…。

  是公开可访问的由于这些信息都,法分子窃取容易被不,的数据安全问题从而造成严重○◇-,企业造成实际的业务损失这不仅给数字化转型的,企业向数字化转型的信心一定程度上也打击了传统▲▽。

  PI安全中比较常见的问题过度的敏感数据暴露是A◆◁,有注册信息从后台数据库中取出后如该案例中开发者把平台厂商的所,全部返回给前端不加任何过滤▪△。类问题对于这,API接口时我们在设计,楚业务需求需要了解清,必要的数据返回尽可能减少不。

  什么新鲜事物API并不是,题也并非近期才出现与其相关的安全问★▷,前业内普遍关注的重要问题而API安全之所以成为当,互联网业务场景快速爆发一方面是数字经济时代的,PI去交互数据需要大量的A,I数量增多了也就是说AP,价值更高了承载着数据;方面另一☆=▽,快速发展随着业务▷•▲,布周期也随之加快API的迭代和发,企业“重业务而当前很多,I埋下了潜在的安全风险轻安全”的理念为AP。

  会持续发展API技术,谋也会日益迭代攻击者阴谋阳,了一个新的攻击面围绕API已形成,任重而道远其安全建设…▷◆。拆解攻击者的各种特征和招式基于黑灰产情报精准发现和,感知和更及时的阻断做到更精准的风险…☆▲,全管理的更优解将是API安,崇的API安全建设理念这也是永安在线一直推◇▪•。币圈快讯的网站

标签: