API安全

API安全模块支持自动梳理已接入Web应用防火墙(Web Application Firewall,简称WAF)防护的业务中开放的API资产,检测API风险(例如敏感数据泄露、内部接口暴露等),并通过报表还原API异常事件,提供详细的风险处理建议和API生命周期管理参考数据,帮助您实现全面的API安全防护。

功能介绍

API安全模块为您提供下表描述的功能。

功能

说明

API资产总览及生命周期管理

API安全通过离线分析业务访问日志,自动检测流量中存在的所有API,并支持根据接口特征,自动识别API业务用途。

您可以通过API概览查看API资产列表、API详情(包含API请求范例、参数结构、近30天调用量等数据),分析API调用趋势变化,按IP、客户端类型、地理位置、Referer维度查询调用分布情况,以及监控新上线的API、访问量下降的API。

说明

API安全所有的计算和分析均离线完成,不会主动探测接口,对业务运行无任何影响。

API风险检测

检测API存在的未授权访问、敏感数据暴露等各类安全风险,并提供详细的风险分析及安全处置建议。

API安全事件检测

监控分析API的调用行为,及时发现各类异常访问或攻击行为。

通过单击以下问题,了解更多关于API安全的能力介绍:

  • API安全如何划分API业务用途?

    • 登录认证

    • 手机验证码认证

    • 数据保存

    • 数据查询

    • 数据导出

    • 数据分享

    • 数据更新

    • 数据删除

    • 数据增加

    • 下线注销

    • 信息发送

    • 信息认证

    • 邮件信息发送

    • 邮箱验证码认证

    • 账号密码认证

    • 账号注册

  • API安全支持检测哪些敏感数据?

    敏感数据级别

    敏感数据类型

    非敏感数据(N)

    不涉及。

    特级敏感数据(L0)

    与一级敏感数据(L1)或二级敏感数据(L2)相同。

    • 单次响应中一级敏感数据(L1)较多时,升级为特级敏感数据(L0)。

    • 单次响应中二级敏感数据(L2)较多时,升级为一级敏感数据(L1)或特级敏感数据(L0)。

    一级敏感数据(L1)

    身份证、储蓄卡、手机号、护照号、港澳通行证、车牌号、军官证、身份证(中国香港)、身份证(马来西亚)、身份证(新加坡)、信用卡、SSN、JDBC连接串、PEM证书、KEY私钥、Linux-Passwd文件、Linux-Shadow文件。

    二级敏感数据(L2)

    姓名(简体中文)、地址(中国内地)、邮箱、电话号码(中国内地)、姓名(中文繁体)、姓名(英文)、电话号码-美国、宗教信仰、IP地址、MAC地址、IPv6地址、GPS位置、IMEI、营业执照号码、税务登记证号码、组织机构代码、统一社会信用代码、车辆识别代码。

    三级敏感数据(L3)

    性别、民族、省份(中国内地)、城市(中国内地)、未校验的身份证号、SwiftCode、日期、URL链接。

  • API安全支持检测哪些API风险类型?

    风险类型

    说明

    疑似内部接口暴露

    内部接口(例如,用于内部办公、开发测试、运营管理的接口)暴露在公网。

    缺乏访问限速机制

    接口在应对高频访问时,缺少安全防护机制,可能导致暴力破解、恶意爬虫等。

    敏感数据过度暴露

    接口暴露过多的敏感数据,可能导致大规模数据泄漏。

    缺乏异常处理机制

    检测到程序报错信息,可能存在SQL注入、泄漏应用配置等风险。

    缺乏访问控制机制

    接口对不符合日常基线的访问(例如,异常地区访问)缺乏控制机制。

    敏感数据接口缺乏鉴权机制

    接口缺少鉴权机制,可以被未授权的访问者访问,用于获取敏感数据。

  • API安全支持检测哪些异常事件类型?

    事件类型

    说明

    来自异常地区的接口调用

    例如,日常访问该接口的请求集中在北京地区,某天发现来自美国的请求调用了该接口。

    来自异常源IP的接口调用

    例如,日常访问该接口的IP集中在192.0.XX.XX,某天发现192.1.XX.XX调用了该接口。

    来自异常终端的接口调用

    例如,日常访问该接口的客户端主要是浏览器,某天发现有请求通过Python脚本调用了该接口。

    来自异常时段的接口调用

    例如,日常访问该接口的请求活跃时间集中在09:00~17:00,某天发现有请求在03:00调用了该接口。

    针对登录接口的暴力破解

    有攻击者暴力破解了账号密码。

    针对登录接口的撞库攻击

    有攻击者批量登录,试图撞库。

    未授权访问获取敏感信息

    有调用者在未授权的情况下,访问接口获取了敏感数据。

    过多的敏感数据获取

    某调用者通过该接口获取了大量的敏感数据。

    异常的批量注册行为

    该接口上发生了大量账号注册行为,疑似垃圾注册。

    异常的批量导出行为

    该接口上发生了大量下载或导出文件的行为。

    异常的高频访问行为

    该接口被调用的频率远高于正常频率。

    验证码暴力破解

    该接口上发生了暴力破解验证码的行为。

    短信接口资源滥用

    短信发送接口被高频调用,导致短信资源被恶意消耗。

    邮箱接口资源滥用

    邮件发送接口被高频调用,可能遭受了邮件炸弹攻击。

    遍历爬取接口数据

    该接口上发生了遍历某个参数,高频爬取接口数据的行为。

    不符合规范的接口调用

    调用请求中的某个参数不符合接口参数规范,例如,正常情况下参数A是整数格式,但发现调用请求中的参数A使用了字符串格式。

前提条件

已开通中国内地WAF包年包月实例。

查看API安全分析数据

重要

API安全会检测符合指定特征的请求响应内容,以判断API是否存在数据泄露风险。开通API安全后,就意味着授权WAF进行相关分析。

开通API安全后即可使用该功能,无需额外配置。您可以通过API安全页面,查看分析结果。

  1. 登录Web应用防火墙控制台在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地)。

  2. 在左侧导航栏,选择场景防护 > API安全

  3. API安全页面的概览页签,查看API安全分析数据。

    数据类型

    用途及说明

    支持的操作

    API安全事件

    通过统计数据,了解API安全事件的总数及其今日新增数。安全事件总数包括:高危风险事件数、中危风险事件数、低危风险事件数。

    无。

    API风险

    通过统计数据,了解API风险的总数及其较昨日变化趋势。API风险包括:高危风险数、中危风险数、低危风险数。

    无。

    API资产总览

    通过统计数据,了解API资产,包括:

    • API资产总数及其较昨日变化趋势、近七天趋势

    • 活跃API及其较昨日变化趋势、近七天趋势

    • 失活API

    • 新增API

    无。

    API资产列表

    查看WAF检测发现的所有开放API列表,了解API的开放规模和访问热度。

    API资产列表包含以下信息:

    • API:API接口地址。

    • 域名:API接口所属的域名。

    • 请求方法:API接口的调用方法。

    • 30天调用量:近30天内的请求次数总和。

    • 服务对象:通过API接口的访问聚集度分析,分为三类:

      • 内部办公:面向内部员工提供服务的API接口。

      • 三方合作:面向第三方生态合作方提供的API接口。

      • 公共服务:面向互联网提供服务的API接口。

    • 业务用途:API安全按照业务类型,对检测发现的API设置功能标签。更多信息,请参见功能介绍

    • 敏感数据标签:根据敏感数据分级,设置敏感数据标签。更多信息,请参见功能介绍

    • 敏感数据类型:不同敏感数据分级,对应不同的敏感数据类型。更多信息,请参见功能介绍

    • 风险/事件:该接口所识别到的脆弱性风险以及攻击事件。

    • 查询API信息:

      • API资产列表上方的搜索框,单击下拉图标,选择API域名,并输入对应的API接口地址或所属域名。

      • 单击API资产列表右上角的高级搜索,可根据API请求方法服务对象业务用途30天调用量敏感标签敏感数据类型活跃状态,搜索API信息。

    • API排序:单击30天调用量风险/事件表头后的排序图标图标。

    • 查看风险/事件详情:单击API接口地址对应的风险/事件列下的数字。

    • 查看API详情。更多信息,请参见查看API详情

    • 导出API数据。更多信息,请参见导出API安全报表数据

查看API风险检测数据

WAF实例将会自动检测API存在的未授权访问、敏感数据过度暴露、内部接口泄露等风险,提供详细的风险分析及处置建议。

API安全页面的风险检测页签,查看API风险检测分析数据。

数据类型

用途及说明

支持的操作

API风险总览

通过统计数据,了解API风险总数及其较昨日变化数。API风险总数及其较昨日变化数统计维度包括高危风险数、中危风险数、低危风险数。

单击高危风险数、中危风险数或低危风险数后的立即查看,可查看风险详情。

API风险趋势

通过趋势图,了解最近30天内高风险、中风险、低风险API的变化趋势。

无。

API风险详情

查看WAF检测发现的所有API风险详情,了解API的风险名称、等级等信息。关于风险类型的更多信息,请参见功能介绍

API风险列表包含以下信息:

  • 风险ID

  • 风险名称

  • 风险等级

  • API

  • 域名

  • 安全事件

  • 操作

  • 查询API风险:

    • API资产列表上方的搜索框,单击下拉图标,选择API域名风险ID,并输入对应的信息。

    • 通过风险名称风险等级忽略等级搜索API风险信息。

  • API风险排序:单击风险等级安全事件表头后的排序图标图标。

  • 查看API风险详情:在API风险详情列表的操作列,单击目标风险ID对应的查看详情

  • 忽略API风险:在API风险详情列表的操作列,单击目标风险ID对应的忽略风险

  • 查看API详情。更多信息,请参见查看API详情

  • 导出API数据。更多信息,请参见导出API安全报表数据

查看API安全事件数据

WAF实例将通过智能行为分析算法,建立API调用基线,及时发现撞库、资源滥用、批量注册等攻击行为。

API安全页面的安全事件页签,查看API安全事件分析数据。

数据类型

用途及说明

支持的操作

API安全事件总览

通过统计数据,了解API安全事件的总数及其今日新增数。安全事件总数和今日新增数统计维度包括高危风险事件数、中危风险事件数、低危风险事件数。

单击高危风险事件数、中危风险事件数或低危风险事件数后的立即查看,可查看风险详情。

API安全事件趋势

通过趋势图,了解最近30天内高风险、中风险、低风险API安全事件的变化趋势。

无。

API安全事件详情

查看WAF检测发现的所有API安全事件,了解API安全事件的名称、等级等信息。关于安全事件类型的更多信息,请参见功能介绍

API安全事件列表包含以下信息:

  • 事件ID

  • 事件名称

  • 事件等级

  • 事件时间

  • API

  • 域名

  • 攻击源

  • 关联风险

  • 操作

  • 查询API安全事件:

    • API资产列表上方的搜索框,单击下拉图标,选择API域名事件ID,并输入对应的信息。

    • 支持通过事件名称攻击源事件等级,查看API安全事件信息。

  • 查看API安全事件详情:在API安全事件详情列表的操作列,单击目标风险ID对应的查看详情

  • 查看API详情。更多信息,请参见查看API详情

  • 导出API数据。更多信息,请参见导出API安全报表数据

查看API详情

API资产列表,单击目标API,展开API详情面板。

类型

说明

API请求范例

展示了请求该API的详细信息,具体包含请求参数特征

30天调用量

展示了该API访问量在近30天内的变化趋势。

访问源统计

展示了该API访问源的IP客户端类型地理位置Referer分布列表(按照访问次数由高到低排序)。

导出API安全报表数据

  1. 单击API资产列表右上角的导出数据 图标,导出API数据。

    API安全将为您创建一个API资产导出任务。

    重要
    • 如果您在API资产列表区域上方设置了查询条件,则导出文件只包含查询到的数据,否则包含所有数据。

    • 导出文件生成后将暂存在WAF控制台,三天后会过期,过期文件不支持下载。请您在文件有效期内及时下载文件。

  2. 单击API安全页面右上角的导出记录

  3. 定位到要下载的文件,单击操作列的下载

    导出文件将被下载到浏览器的默认保存位置,您可以前往默认保存位置查看下载的文件。