API安全模块支持自动梳理已接入Web应用防火墙WAF(Web Application Firewall)防护的业务中开放的API资产,检测API风险(例如敏感数据泄露、内部接口暴露等),并通过报表还原API异常事件,提供详细的风险处理建议和API生命周期管理参考数据,帮助您实现全面的API安全防护。

功能介绍

API安全模块为您提供下表描述的功能。
功能 说明
API资产总览及生命周期管理 API安全通过离线分析业务访问日志,自动检测流量中存在的所有API,并支持根据接口特征,自动识别API业务用途。
您可以通过API概览查看API资产列表、API详情(包含API请求范例、参数结构、近30天调用量等数据),分析API调用趋势变化,按IP、客户端类型、地理位置、Referer维度查询调用分布情况,以及监控新上线的API、访问量下降的API。
说明 API安全所有的计算和分析均离线完成,不会主动探测接口,对业务运行无任何影响。
API风险检测 检测API存在的未授权访问、敏感数据暴露等各类安全风险,并提供详细的风险分析及安全处置建议。
API安全事件检测 监控分析API的调用行为,及时发现各类异常访问或攻击行为。
通过单击以下问题,了解更多关于API安全的能力介绍:
  • API安全如何划分API业务用途?
    • 登录认证
    • 手机验证码认证
    • 数据保存
    • 数据查询
    • 数据导出
    • 数据分享
    • 数据更新
    • 数据删除
    • 数据增加
    • 下线注销
    • 信息发送
    • 信息认证
    • 邮件信息发送
    • 邮箱验证码认证
    • 账号密码认证
    • 账号注册
  • API安全支持检测哪些敏感数据?
    敏感数据级别 敏感数据类型
    非敏感数据(N) 不涉及。
    特级敏感数据(L0) 与一级敏感数据(L1)或二级敏感数据(L2)相同。
    • 单次响应中一级敏感数据(L1)较多时,升级为特级敏感数据(L0)。
    • 单次响应中二级敏感数据(L2)较多时,升级为一级敏感数据(L1)或特级敏感数据(L0)。
    一级敏感数据(L1) 身份证、储蓄卡、手机号、护照号、港澳通行证、车牌号、军官证、身份证(中国香港)、身份证(马来西亚)、身份证(新加坡)、信用卡、SSN、JDBC连接串、PEM证书、KEY私钥、Linux-Passwd文件、Linux-Shadow文件。
    二级敏感数据(L2) 姓名(简体中文)、地址(中国内地)、邮箱、电话号码(中国内地)、姓名(中文繁体)、姓名(英文)、电话号码-美国、宗教信仰、IP地址、MAC地址、IPv6地址、GPS位置、IMEI、营业执照号码、税务登记证号码、组织机构代码、统一社会信用代码、车辆识别代码。
    三级敏感数据(L3) 性别、民族、省份(中国内地)、城市(中国内地)、未校验的身份证号、SwiftCode、日期、URL链接。
  • API安全支持检测哪些API风险类型?
    风险类型 说明
    疑似内部接口暴露 内部接口(例如,用于内部办公、开发测试、运营管理的接口)暴露在公网。
    缺乏访问限速机制 接口在应对高频访问时,缺少安全防护机制,可能导致暴力破解、恶意爬虫等。
    敏感数据过度暴露 接口暴露过多的敏感数据,可能导致大规模数据泄漏。
    缺乏异常处理机制 检测到程序报错信息,可能存在SQL注入、泄漏应用配置等风险。
    缺乏访问控制机制 接口对不符合日常基线的访问(例如,异常地区访问)缺乏控制机制。
    敏感数据接口缺乏鉴权机制 接口缺少鉴权机制,可以被未授权的访问者访问,用于获取敏感数据。
  • API安全支持检测哪些异常事件类型?
    事件类型 说明
    来自异常地区的接口调用 例如,日常访问该接口的请求集中在北京地区,某天发现来自美国的请求调用了该接口。
    来自异常源IP的接口调用 例如,日常访问该接口的IP集中在192.0.XX.XX,某天发现192.1.XX.XX调用了该接口。
    来自异常终端的接口调用 例如,日常访问该接口的客户端主要是浏览器,某天发现有请求通过Python脚本调用了该接口。
    来自异常时段的接口调用 例如,日常访问该接口的请求活跃时间集中在09:00~17:00,某天发现有请求在03:00调用了该接口。
    针对登录接口的暴力破解 有攻击者暴力破解了账号密码。
    针对登录接口的撞库攻击 有攻击者批量登录,试图撞库。
    未授权访问获取敏感信息 有调用者在未授权的情况下,访问接口获取了敏感数据。
    过多的敏感数据获取 某调用者通过该接口获取了大量的敏感数据。
    异常的批量注册行为 该接口上发生了大量账号注册行为,疑似垃圾注册。
    异常的批量导出行为 该接口上发生了大量下载或导出文件的行为。
    异常的高频访问行为 该接口被调用的频率远高于正常频率。
    验证码暴力破解 该接口上发生了暴力破解验证码的行为。
    短信接口资源滥用 短信发送接口被高频调用,导致短信资源被恶意消耗。
    邮箱接口资源滥用 邮件发送接口被高频调用,可能遭受了邮件炸弹攻击。
    遍历爬取接口数据 该接口上发生了遍历某个参数,高频爬取接口数据的行为。
    不符合规范的接口调用 调用请求中的某个参数不符合接口参数规范,例如,正常情况下参数A是整数格式,但发现调用请求中的参数A使用了字符串格式。

前提条件

已开通中国内地云WAF包年包月实例。具体操作,请参见开通Web应用防火墙

查看API安全分析数据

开通API安全模块后,WAF实例将会自动检测业务请求中关联的API,无需额外配置,支持分析API存在的风险和调用情况,并通过API安全页面向您展示分析结果。

  1. 登录Web应用防火墙控制台在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地)。
  2. 在左侧导航栏,选择场景防护 > API安全
  3. API安全页面的概览页签,查看API安全分析数据。
    数据类型 用途及说明 支持的操作
    API安全事件 通过统计数据,了解API安全事件的总数及其今日新增数。安全事件总数包括:高危风险事件数、中危风险事件数、低危风险事件数。 无。
    API风险 通过统计数据,了解API风险的总数及其较昨日变化趋势。API风险包括:高危风险数、中危风险数、低危风险数。 无。
    API资产总览 通过统计数据,了解API资产,包括:
    • API资产总数及其较昨日变化趋势、近七天趋势
    • 活跃API及其较昨日变化趋势、近七天趋势
    • 失活API
    • 新增API
    无。
    API资产列表 查看WAF检测发现的所有开放API列表,了解API的开放规模和访问热度。
    API资产列表包含以下信息:
    • API:API接口地址。
    • 域名:API接口所属的域名。
    • 请求方法:API接口的调用方法。
    • 近30天调用量:近30天内的请求次数总和。
    • 服务对象:通过API接口的访问聚集度分析,分为三类:
      • 内部办公:面向内部员工提供服务的API接口。
      • 三方合作:面向第三方生态合作方提供的API接口。
      • 公共服务:面向互联网提供服务的API接口。
    • 业务用途:API安全按照业务类型,对检测发现的API设置功能标签。更多信息,请参见功能介绍
    • 敏感数据标签:根据敏感数据分级,设置敏感数据标签。更多信息,请参见功能介绍
    • 敏感数据类型:不同敏感数据分级,对应不同的敏感数据类型。更多信息,请参见功能介绍
    • 风险/事件:该接口所识别到的脆弱性风险以及攻击事件。
    • 查询API信息:
      • 在API资产列表上方的搜索框,单击下拉图标,选择API域名,并输入对应的API接口地址或所属域名。
      • 单击API资产列表右上角的高级搜索,可根据API的请求方法服务对象业务用途近30天调用量敏感标签敏感数据类型活跃状态,搜索API信息。
    • API排序:单击近30天调用量风险/事件表头后的排序图标图标。
    • 查看风险/事件详情:单击API接口地址对应的风险/事件列下的数字。
    • 查看API详情。更多信息,请参见查看API详情
    • 导出API数据。更多信息,请参见导出API安全报表数据

查看API风险检测数据

WAF实例将会自动检测API存在的未授权访问、敏感数据过度暴露、内部接口泄露等风险,提供详细的风险分析及处置建议。

API安全页面的风险检测页签,查看API风险检测分析数据。
数据类型 用途及说明 支持的操作
API风险总览 通过统计数据,了解API风险总数及其较昨日变化数。API风险总数及其较昨日变化数统计维度包括高危风险数、中危风险数、低危风险数。 单击高危风险数、中危风险数或低危风险数后的立即查看,可查看风险详情。
API风险趋势 通过趋势图,了解最近30天内高风险、中风险、低风险API的变化趋势。 无。
API风险详情 查看WAF检测发现的所有API风险详情,了解API的风险名称、等级等信息。关于风险类型的更多信息,请参见功能介绍
API风险列表包含以下信息:
  • 风险ID
  • 风险名称
  • 风险等级
  • API
  • 域名
  • 安全事件
  • 操作
  • 查询API风险:
    • 在API资产列表上方的搜索框,单击下拉图标,选择API域名风险ID,并输入对应的信息。
    • 通过风险名称风险等级忽略等级搜索API风险信息。
  • API风险排序:单击风险等级安全事件表头后的排序图标图标。
  • 查看API风险详情:在API风险详情列表的操作列,单击目标风险ID对应的查看详情
  • 忽略API风险:在API风险详情列表的操作列,单击目标风险ID对应的忽略风险
  • 查看API详情。更多信息,请参见查看API详情
  • 导出API数据。更多信息,请参见导出API安全报表数据

查看API安全事件数据

WAF实例将通过智能行为分析算法,建立API调用基线,及时发现撞库、资源滥用、批量注册等攻击行为。

API安全页面的安全事件页签,查看API安全事件分析数据。
数据类型 用途及说明 支持的操作
API安全事件总览 通过统计数据,了解API安全事件的总数及其今日新增数。安全事件总数和今日新增数统计维度包括高危风险事件数、中危风险事件数、低危风险事件数。 单击高危风险事件数、中危风险事件数或低危风险事件数后的立即查看,可查看风险详情。
API安全事件趋势 通过趋势图,了解最近30天内高风险、中风险、低风险API安全事件的变化趋势。 无。
API安全事件详情 查看WAF检测发现的所有API安全事件,了解API安全事件的名称、等级等信息。关于安全事件类型的更多信息,请参见功能介绍
API安全事件列表包含以下信息:
  • 事件ID
  • 事件名称
  • 事件等级
  • 事件时间
  • API
  • 域名
  • 攻击源
  • 关联风险
  • 操作
  • 查询API安全事件:
    • 在API资产列表上方的搜索框,单击下拉图标,选择API域名事件ID,并输入对应的信息。
    • 支持通过事件名称攻击源事件等级,查看API安全事件信息。
  • 查看API安全事件详情:在API安全事件详情列表的操作列,单击目标风险ID对应的查看详情
  • 查看API详情。更多信息,请参见查看API详情
  • 导出API数据。更多信息,请参见导出API安全报表数据

查看API详情

API资产列表,单击目标API,展开API详情面板。
类型 说明
API请求范例 展示了请求该API的详细信息,具体包含请求参数特征
近30天调用量 展示了该API访问量在近30天内的变化趋势。
访问源统计 展示了该API访问源的IP客户端类型地理位置Referer分布列表(按照访问次数由高到低排序)。

导出API安全报表数据

  1. 单击API资产列表右上角的导出数据 图标,导出API数据。
    API安全将为您创建一个API资产导出任务。
    注意
    • 如果您在API资产列表区域上方设置了查询条件,则导出文件只包含查询到的数据,否则包含所有数据。
    • 导出文件生成后将暂存在WAF控制台,三天后会过期,过期文件不支持下载。请您在文件有效期内及时下载文件。
  2. 单击API安全页面右上角的导出记录
  3. 定位到要下载的文件,单击操作列的下载
    导出文件将被下载到浏览器的默认保存位置,您可以前往默认保存位置查看下载的文件。