数字化浪潮下的API安全探索(1).pdfVIP

数字化浪潮下的API 安全探索 邵付东 目录 01 API攻击案例 02 API安全挑战 03 API安全管理 登录API被大量IP低频撞库  企业的登录入 口，除了可以使用微信扫码 、手机号验证码登录之外 ，仍保留基于账号和密码的登录方式  账号密码登录API已启用行为验证码进行人机校验 ，且支持基于IP的限频策略  但登录API存在账号和密码明文传输 、返回错误信息友好的设计缺陷，攻击门槛比较低 ；攻击者利用了打码 平台和动态代理IP资源在凌晨进行了低频的撞库攻击 社工库(手机号 ，密码 ） 打码平台 /WeChat login /SMS login 代理平台 2754个IP WAF API网关 /login 用户资料API ： /profile IP限频 输入 ：手机号 、密码 输入 ：手机号 攻击者 平均每个IP的攻击次数为 1.25次 ，超过95%的IP只攻 正常返回：登录成功 返回：姓名 、学历 、手机号 、 击了一次 学校 、工作经历 错误返回：用户不存在 Spring boot Acutator API未授权被利用导致拖库  使用Spring boot 内置运维监控模块Acutator ，没有进行安全设置 ，导致攻击者可以拿到数据库的地址 、用 户名和密码  数据库直接可以通过公网进行访问，导致攻击者可以拖库  攻击者在暗网上售卖拖库数据 ，导致大量的用户被电信诈骗 FOFA类网络空间测绘系统 /env API可以未授权访问 拖库 暗网交易 电信诈骗 API 描述 实时用户信息: 姓名 、手机号 、 攻击者 /health 报告应用程序的健康指标 身份证 、地址 、贷款金额 /info 显示应用的基本信息 /trace 提供基本的 HTTP 请求跟踪信息 /env 显示全部环境属性 API缺陷和大量IP低频攻击导致数据泄漏 近几年API问题导致的大规模数据泄漏 某社交平台5.38亿用户数据泄露被工信部约谈 网络黑产通过对微博通讯录上传API接口进行暴力匹配攻击 ，导致用户绑定手机号 、ID、昵称 、所在地和头像等数据 泄露 ，对此工业和信息化部对新浪微博相关负责人进行了问询约谈 Facebook用户信息泄露被罚50亿美元 剑桥分析公司通过Facebook提供的开放API获得了多达8700万用户的个人信息 ，被美国联邦贸易委员会(FTC)罚 款50亿美元 ，并要求其加强其对用户信息收集和使用方面的管理 ，这成为美国政府对科技公司开出的最大罚单 某购物平台11亿用户购物信息泄漏 攻击者通过对两个API进行遍历爬取 ，其中一个API获取了手机号到账号的映射 ，另外一个