2023API安全趋势报告

API态势分析分析析案例分享1011产管理11敏感信息监测11缺陷识别11攻击检测1112APIAPI安全发展趋势15API16API化16API为云应用安全的重要组成17成为API安全的要素17防护建议防护建议18附录21API集26应用程序接口(ApplicationProgrammingInterface，API)是一API在应用架构上实现了软件的模块化、可重用、可扩展能力，已经成为应用系统中使用广泛的核心支撑技术之一。APP、小程源为瑞数信息防护案例及第三方公开数据采样，数据仅供参考。PIsPIsPIsPIs物联网设备猛增PIs边界不复存在PIs企业内部访问PIsPIsPIsPIs物联网设备猛增PIs边界不复存在PIs企业内部访问PIsAPIsPIsPIb到2024年，API滥用和相关数据泄露将几乎翻倍”。中国信通院也在《应用程序接口(API)数据安全研究I02030203API攻击持续走高I4瑞数信息技术(上海)有限公司瑞数信息技术(上海)有限公司5APIAPI分析API和小程序逐渐成为了很多企业和组织的流量入口，针对传统Web攻击30%针对APl攻击70%攻击态势没有因此而停止，反而增多。01月2月3月4月5月6月 7月8月9月10月11月12月6瑞数信息技术(上海)有限公司77·接口分散和传输格式多样性导致接口难以发现API式的多样性(JSON、XML、GraphQL等)也增·业务紧耦合防护策略难以通用s·合法授权下的滥用风险难以识别PIAPI瑞数信息技术(上海)有限公司传统web漏洞允许弱口令短信接口滥用未鉴权接口误暴露明文密码传输参数可篡改越权访问过度数据暴露参数可遍历传统web漏洞允许弱口令短信接口滥用未鉴权接口误暴露明文密码传输参数可篡改越权访问过度数据暴露参数可遍历其他9%交通3%医疗3%互联网27%教育4%能源4%政府10%金融21%运金融21%API请求流量行业分布8瑞数信息技术(上海)有限公司找回密码文件下载投票评价业务办理短信个人信息查询公开数据查询登录注册传统Web攻击越权访问信息遍历参数篡改密码破解乱序攻击凭证盗用ssRF短信轰炸路径探测找回密码文件下载投票评价业务办理短信个人信息查询公开数据查询登录注册传统Web攻击越权访问信息遍历参数篡改密码破解乱序攻击凭证盗用ssRF短信轰炸路径探测瑞数信息技术(上海)有限公司9 10瑞数信息技术(上海)有限公司资产管理APIAPIAPIAPI。API资产敏感信息监测息传输变得可见。缺陷识别瑞数信息技术(上海)有限公司11·资产管理 12瑞数信息技术(上海)有限公司·敏感数据传输监测型包括身份证号、手机号、邮箱、银行卡等信息。梳理出了存在明文传输敏感数据的业务系统、接口路径、瑞数信息技术(上海)有限公司13·缺陷识别·攻击检测QLPI 14瑞数信息技术(上海)有限公司07自动化攻击加剧API安全风险07自动化攻击加剧API安全风险02API安全管理更加智能化03API安全成为云应用安全的重要组成04合规要求成为API安全的要素API安全发展趋势瑞数信息技术(上海)有限公司150707PIIAPI安全意识薄弱的从业人员，需要更加全面、智能的管理方式和管理策略。充分利无论是ToC还是ToB，会有越来越多的业务依靠API来办理，越来越多的信息通过API来传输，因此，无论是内部服务器之间的API数量，还是对外开放的API数量都会井喷式地增长。同时，伴随人工智能技术的发展，自动化攻击的门槛进一步降低，攻击者可以利用机器学习算法快速生成自动化攻击脚本，经过简单修改，即可发起攻击行为，自动化工具可以短时间内迅速扫描大量的API接口，利用接口返回信息分析判断API是否存在缺陷，一旦发现可利用的缺陷便记录下来并为下一步攻击利用该缺陷做准备；由于自动化攻击脚本的便利性，通过一台设备可以对多个目标API发起大范围的大量攻击试探行为，从而获得更多的攻击信息；自动化工具在提升工作效率的同时，也加大了被恶意利用的可能，一旦自动化工具被滥用，类似DDoS攻击和CC攻击不可避免地夹杂在正常的用户访问中。加剧了API被攻击的风险。因此，未来企业在应对业务形态变化的同时，亟需针对自动化攻击的防御策略002 16瑞数信息技术(上海)有限公司APIAPI来的是导致传统边界安全防御策略的失效。针对云端API的安全防护思路、防御使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护等，也需要用到权限管控、数据脱敏、数据加密、审计溯源等多种技术手段。数据隐私和安全法规的不断严格，作为信息重要载体的API及其安全将会更加侧重监管和合规性要求。未来针对API安全细分领域的解决方案预计将更加贴00E00b瑞数信息技术(上海)有限公司17 18瑞数信息技术(上海)有限公司，瑞数信息技术(上海)有限公司192020瑞数信息技术(上海)有限公司OWASPAPISecurity·OWASPTOP10是什么OWASPTOP10是由OWASP发布的常见Web应用程序安全风险列表。该列表列出了当前最普遍、最·OWASPAPISecurityTOP10是什么API的更新。·2019VS2023变化对比年的列表中看到了对传统安全措施的挑战，以及对新兴技术如raphQLgRPCAPI因此对防御措施产生了更强烈的需术不断演进和攻击者利用策略的变化，API安全环境也在持续变化。这意味着开发者、企业和安全专业IAPI瑞数信息技术(上海)有限公司21·API1对象级别授权失效(无变化)问·API2认证失效(更新)围更广和更全。API2:2019中用户认证失效指的是攻击者可以利用弱密码、会话固定等方式来绕过等。·API3对象属性级别授权失效(合并)·API4未受限制的资源消耗(更新)足够的资源来满足所有的请求，攻击者可以利用这个漏洞发起拒绝服务(DoS)攻击。而API4:2023·API5功能级别的授权失效(无变化)由此22瑞数信息技术(上海)有限公司·API6不受限访问敏感业务(新增)API指的是敏感业务接口没有做合理的访问控制，导致攻击者可以利用自动化工具或者脚本实现批量查询或者敏感数据获取，这个跟·API7服务器端请求伪造SSRF(新增)·API8错误的安全配置(排名下降)·API9存量资产管理不当(更新)2019版API9资产管理不当更新为2023版API9存量资产管理不当。这两个风险都是跟资产管理I·API10API的不安全使用(新增)瑞数信息技术(上海)有限公司23API安全事件合集·推特2.35亿用户个人信息泄露Breached上被泄露，此次泄露的数据大约有宝马、劳斯莱斯、保时捷等车企爆出API安全漏洞联网(/web-hackers-vs-the-auto-黑客进行各种恶意活动，包括解锁、启动和跟·美国通信巨头T-Mobile五年遭遇八起数据泄露在提交给美国证券交易委员会(SEC)的报告0账户号和账户订阅条目数与套餐功能等信息。程序编程接口(API)未经授权就获取到了这些24瑞数信息技术(上海)有限公司潜在漏洞。MoneyLover是一款管理个人财务的工具应用程序。它可以帮助用户记录和跟踪他们的支出、收入、预算、账单和债务等方面Trustwave研究员Troyr交易记录等，并且还可能篡改或删除用户的数据，导致用户Optus窃取9月22日，Optus公司证实公司系统美元(约155万澳元)的赎金，否则每天都会公布一万名客户的详细资料。据称本次事件是因为向第三方公司开放的API接口存在安全漏I易机器人服务商3Commas用户的API密钥上瑞数信息技术(上海)有限公司25·LEGOMarketplace曝API漏洞，可进行账号接管攻击的乐高转售平台中发现了API安全漏洞，Salt对客户账户进行大规模账户接管(ATO)攻击，访问平台存储的个人身份信息(PII)、用户数据·ShopifyAPI密