安天WEB应用安全系列专题
本期为安天WEB应用安全系列专题第三期:API业务安全。
01
引言
根据创新安全服务商 Salt Labs 发布的2023年第一季度《API安全态势研究报告》[1](原文:《 State of API Security Report Q1 2023 》)显示,94%的受访企业表示过去一年在生产系统中遭遇过API安全问题,17%的受访者表示其所在的企业组织由于API安全漏洞而导致了数据泄露。同时,报告还显示,在过去的6个月时间里,API攻击活动数量快速增长了400%,而其中有78%的攻击竟发生在有经过初步安全性验证的 API 上。
由此可见,防护API相关安全风险,刻不容缓。因此,安天WEB应用防护系统(业务增强版)提供了一整套基于API 安全的综合解决方案 —— 安天WAAP-API解决方案(以下简称“Antiy WAAP ”)。通过API业务的感知及防护,API数据采集及威胁分析,可全方位、多角度、高效率的保障客户的相关业务安全。
02
全面感知及防护客户API 业务
Antiy WAAP 可以通过自学习的方式进行业务识别,发现客户资产网站下的API业务;通过定义 API 数据规范,检查 API 业务中的数据异常问题;对访问的 API 业务进行攻击特征及敏感信息匹配,上报攻击特征,抹除敏感信息,防止信息泄露,保证客户API 安全。同时,基于用户识别的功能,Antiy WAAP可对API 的访问权限加以控制,防止异常访问和越权访问情况的出现。
03
深度威胁综合分析助力策略调整
针对API 相关攻击威胁,Antiy WAAP 可及时对访问服务器的流量进行过滤,采集API 访问的流量日志、点击流数据日志及 API 攻击日志,并通过IP、用户、业务等为多维度,进行综合分析及判断,评估 API 业务的受攻击程度,以便于客户及时做出策略调整。
图1 API安全策略配置图
04
有效支撑客户达成对API业务的可知、可信、可控
01 API 服务可知
1)API 接口梳理:基于自学习对 API 服务接口进行梳理,实时统计接口访问情况,及时发现异常状况;同时通过API 接口参数学习,可自动生成策略,有效防止 0Day 攻击。
2)API 数据规范检查:精准识别常用 XML、JSON 等数据格式,精确检查 API 访问规范。
3)API 访问内容攻击检测:深入识别 API 访问的内容,深度检测 API 访问内容威胁。
图2 XML检测规则图 02
02 API访问者可信
1)认证信息防护:对用户认证相关信息进行加密与重放保护,防止攻击者对用户认证相关信息进行篡改、窃取与重放,确保用户认证信息的安全存储与使用。 2)认证状态检查:追踪检查API 访问用户的状态,实时防止非授权API访问。 3)权限异常检测:系统检查用户权限状态,通过用户识别绑定功能,及时发现攻击者试图通过修改用户身份相关的标识ID来提升权限、越权访问非法资源的攻击,确保访问者权限可信。
图3 用户标识配置图
03 API访问可控
1)访问用户管控:基于用户识别,进行用户访问控制,杜绝非法访问风险。
2)API服务管控:通过 API 访问情况检查,控制 API 的访问速度和方式,限制 API 访问的参数规范,发现异常 API 服务,禁止僵尸 API 进行访问。
图4 用户访问控制配置图
05
API数据采集及威胁分析协助精细化安全运营
01 攻击者IP维度分析
以攻击者IP维度为视角,进行 API 访问数据分析,统计攻击者访问的API 情况与威胁告警,协助运维人员迅速锁定攻击范围,提高溯源效率,精确定位攻击者及 API 业务的受威胁情况。
02 业务用户维度分析
以风险业务用户为角度,统计风险用户API 业务访问范围,及越权获取的 API 业务信息。加强客户对API业务的权限监控,降低攻击者越权访问的风险。
03 业务API维度分析
以 API 业务为维度,统计业务安全问题较多的网站,通过 Top 排名进行展示,以便于客户可以直观的识别出现问题最多的API 业务,帮助及时对业务进行维护和调整。
图5 API威胁分析展示图
06
API经典攻击案件解析 01 案件简述
2023年7月,有网友爆料某大学男生马某,在读硕士研究生期间,利用专业技术盗取全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分排名的网站。一时激起广泛关注讨论,给学校和社会带来了恶劣影响。
图6 学生颜值打分网站截图(已隐去关键信息)
同时,这也是一起利用API攻击盗取个人信息的安全事件。
02 攻击手段分析
攻击者通过越权访问存放数据的API,获取接口权限后,再通过代码爬取“学生个人信息”数据。
03 Antiy WAAP 防御措施
事前通过API 权限监控,规范访问者对 API 业务的访问权限,阻断攻击者的攻击路径;事中通过敏感数据防泄漏、反爬虫等检测手段,及时发现数据爬虫行为,抹除敏感信息,最终实现全流程可知、可信、可控的安全闭环,确保业务数据安全性,降低数据泄露的风险。
04 有效客户价值
1)加强客户对API 业务的权限监控,降低攻击者越权访问的风险。
2)确保客户数据安全,防止敏感数据泄露,保护企业公众形象。
07
结语 Antiy WAAP,通过API的感知及防护和API态势分析相结合的方式,帮助客户解决API越权访问、API合规性判定、API健康检测等问题,为客户提供API业务安全保障。
参考资料:
[1] State of API Security Report Q1 2023
https://content.salt.security/rs/352-UXR-417/images/SaltSecurity-Report-State_of_API_Security.pdf
# 安天青竹智语实验室简介 #
“安天青竹智语实验室”是安天集团为保障业务应用安全成立的实验室。该实验室在应对传统WEB应用威胁的基础上,增强API安全防护和自动化攻击防御;深度结合客户业务,发现逻辑异常、分析用户行为、追溯攻击源头,通过揭示攻击行为的深层次原因,提早发现客户业务系统漏洞,为业务稳定运行提供有效防护。
本期为安天WEB应用安全系列专题第三期:API业务安全。
由此可见,防护API相关安全风险,刻不容缓。因此,安天WEB应用防护系统(业务增强版)提供了一整套基于API 安全的综合解决方案 —— 安天WAAP-API解决方案(以下简称“Antiy WAAP ”)。通过API业务的感知及防护,API数据采集及威胁分析,可全方位、多角度、高效率的保障客户的相关业务安全。
Antiy WAAP 可以通过自学习的方式进行业务识别,发现客户资产网站下的API业务;通过定义 API 数据规范,检查 API 业务中的数据异常问题;对访问的 API 业务进行攻击特征及敏感信息匹配,上报攻击特征,抹除敏感信息,防止信息泄露,保证客户API 安全。同时,基于用户识别的功能,Antiy WAAP可对API 的访问权限加以控制,防止异常访问和越权访问情况的出现。
针对API 相关攻击威胁,Antiy WAAP 可及时对访问服务器的流量进行过滤,采集API 访问的流量日志、点击流数据日志及 API 攻击日志,并通过IP、用户、业务等为多维度,进行综合分析及判断,评估 API 业务的受攻击程度,以便于客户及时做出策略调整。
1)API 接口梳理:基于自学习对 API 服务接口进行梳理,实时统计接口访问情况,及时发现异常状况;同时通过API 接口参数学习,可自动生成策略,有效防止 0Day 攻击。
2)API 数据规范检查:精准识别常用 XML、JSON 等数据格式,精确检查 API 访问规范。
3)API 访问内容攻击检测:深入识别 API 访问的内容,深度检测 API 访问内容威胁。
图3 用户标识配置图
1)访问用户管控:基于用户识别,进行用户访问控制,杜绝非法访问风险。
2)API服务管控:通过 API 访问情况检查,控制 API 的访问速度和方式,限制 API 访问的参数规范,发现异常 API 服务,禁止僵尸 API 进行访问。
图5 API威胁分析展示图
2023年7月,有网友爆料某大学男生马某,在读硕士研究生期间,利用专业技术盗取全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分排名的网站。一时激起广泛关注讨论,给学校和社会带来了恶劣影响。
图6 学生颜值打分网站截图(已隐去关键信息)
同时,这也是一起利用API攻击盗取个人信息的安全事件。
1)加强客户对API 业务的权限监控,降低攻击者越权访问的风险。
2)确保客户数据安全,防止敏感数据泄露,保护企业公众形象。
[1] State of API Security Report Q1 2023
https://content.salt.security/rs/352-UXR-417/images/SaltSecurity-Report-State_of_API_Security.pdf
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...