威胁猎人-《2022年API安全研究报告》.pdfVIP

1 目录 Contents 前言 3 一、2022年 API安全风险概况5 二、2022年 API安全缺陷分析10 三、2022年 API攻击方式分析19 四、2022年值得关注的API攻击案例 27 1、线上政务平台的API攻击案例27 2、金融行业的数据泄露案例29 3、互联网社交平台的API攻击案例31 4、智慧停车平台的数据泄漏案例33 五、安全建议 37 2 前言 近年来，数字化浪潮与疫情交织，企业业务线上化被按下了 “快进键”。数字化与线上化趋 势下，API接口作为应用连接、数据传输的重要通道，呈现大规模增长趋势，API应用的增 速与其安全发展的不平衡，使其成为恶意攻击的首选目标，围绕 API安全的攻防较量愈演 愈烈。 威胁猎人长期致力于 API安全的研究，重点关注全网针对 API攻击的各类黑灰产情报。 《2022 年 API安全研究报告》显示，API安全已然成为了当下企业面临的最严峻网络安全 挑战之一： 1、2022 年平均每月遭受攻击的API数量超 21万，其中 “营销作弊”场景在 API攻击的 主要场景中占比最大，金融和政务平台成为黑产攻击 API并窃取数据的重要目标； 2、2022年，互联网、政务、金融等各行业发生了多起因API安全防护不当引起的API攻 击及数据泄漏事件：如线上政务平台的业务 API遭黑产攻击，公民隐私数据被爬取；社交 平台面临大量扫号、撞库等攻击，大量用户账号被黑产贩卖并用于色情、赌博、诈骗等引流 推广。 威胁猎人 《2022年 API安全研究报告》基于 Karma 情报平台捕获的API攻击风险，对过 去一年的API安全现状和攻击趋势进行了分析，梳理了 2022年较为常见的API安全缺陷、 API攻击方式，并结合 API安全案例给出相应的防御建议。 3 0011 API安全风险概况 4 一、2022年 API安全风险概况 1、2022年平均每月遭受攻击的API数量超 21万 从威胁猎人 Karma 情报平台捕获到的攻击流量来看，2022年全年平均每月遭受攻击的API 数量超过 21万，第二季度 （4-6 月）遭受攻击的API数量达到高峰，月均攻击数量超过 27万。 图：2022年 1-12月遭受攻击的API数量 2、API攻击主要集中在四大场景，营销作弊场景占比最大 从 API遭受攻击的场景来看，主要集中在营销作弊、账号风险、数据窃取和流量欺诈四大 场景，其中，营销作弊场景攻击量近乎占总攻击量的一半。此外，虚假账号、账号盗取等一 系列账号风险问题占比高达 20%，成为第二大常见 API攻击场景。 5 图：API攻击的常见场景占比 3、API攻击遍布各行各业，金融和政务平台是黑产攻击API并窃取 数据的重要目标 图：2022年 API攻击的主要行业 6 从 2022年 API攻击的行业分布数据来看，热度最高的是数字藏品行业，2022年初开始， 黑产针对数字藏品活动接口的攻击快速激增，并在 2022年 Q2达到高峰。 值得关注的是，威胁猎人情报研究团队通过分析 2022年 API攻击流量，发现有多个金融和 政务平台遭受大规模攻击，黑产通过金融或政务平台有安全缺陷的API非法爬取大量涉及 公民隐私、金融业务办理等敏感数据。 黑产通过贩卖金融行业的用户数据可以获取高额利益，包括但不限于出售给中介 “精准”揽 客、出售给犯罪分子实施诈骗等；政务平台的API接口则承载了海量公民隐私数据，如身 份证、住址、医保社保等敏感信息，也是黑产疯狂攻击的对象。 此外，游戏、社交、电商、制造等行业的A