API安全概述

身份信息

联系方式与位置

金融与支付

网络与设备标识

凭据与密钥

企业与通用标识

安全规范

• 不安全的HTTP方法

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口使用了不安全的HTTP方法，攻击者可能通过此类方法探测服务器信息或直接篡改服务器数据。例如PUT方法可能被攻击者利用上传恶意文件，DELETE方法可能被利用删除服务器资源等。

  • 处置建议：建议根据业务需求改造接口，禁用PUT/DELETE/TRACE/OPTIONS等不安全的HTTP方法。

• JWT弱签名算法

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口使用了JWT弱签名算法。

  • 处置建议：建议使用RS256等更安全的签名算法，并保证密钥强度和密钥传输存储过程的安全性。

• 参数为URL

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口的请求参数的值存在URL链接，可能存在SSRF等攻击风险。

  • 处置建议：建议根据业务需求改造接口，避免直接使用参数中由用户控制的URL，同时严格限制参数内容并过滤非法字符。

账号安全

• 密码明文传输

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口明文传输账号密码，攻击者可能在传输过程中通过监听等手段窃取用户账密信息，导致账号被盗用。

  • 处置建议：建议对密码字段加密或哈希处理后传输，避免被攻击者监听窃取。

• 允许弱密码

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该登录接口存在弱口令，攻击者可能通过暴力破解的方式窃取账号。

  • 处置建议：建议增加密码强度限制，通常应包含大写、小写、数字、符号的至少三种，且长度不小于8位。对于已存在的弱密码账号，建议及时通知修改。

• 内部应用存在弱口令

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该内部应用登录接口存在弱口令，攻击者可能通过暴力破解的方式窃取账号。

  • 处置建议：建议增加密码强度限制，通常应包含大写、小写、数字、符号的至少三种，且长度不小于8位。对于已存在的弱密码账号，建议及时通知修改。

• 存在默认密码

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口应用疑似存在默认密码，攻击者可能利用默认密码窃取未修改密码的账号。

  • 处置建议：建议对存在默认密码的应用，在账号首次登录时强制修改密码。对于当前已存在的账号，建议及时通知修改。

• 返回明文密码

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口的响应内容中包含明文密码，攻击者可能在传输过程中通过监听等手段窃取用户账密信息，导致账号被盗用。

  • 处置建议：建议根据业务需求改造接口，避免接口返回明文的密码信息。

• Cookie中存储密码

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口的Cookie中存储了账号密码信息，易被攻击者窃取。

  • 处置建议：建议根据业务需求改造接口，避免在Cookie中存储账密等重要敏感信息。

• 登录接口缺乏限制

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该登录接口疑似缺少验证码限制机制，攻击者可能利用该缺陷无限制爆破账号密码。

  • 处置建议：建议增加验证码限制，特别是当多次登录失败时，可通过增加验证码校验的方式，避免账号爆破等攻击行为。

• 登录失败提示不合理

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该登录接口的登录失败提示不合理，可能泄漏账号是否存在的信息。攻击者可能利用该提示枚举已存在的账号并对其进行攻击，或获取用户注册量等重要业务数据。

  • 处置建议：建议在登录失败时，返回“用户名或密码错误”，避免直接提示“用户名不存在”等可能体现账号注册情况的数据。

• URL传输账号密码

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口通过URL传输账号密码数据，当URL被他人获取后极易造成账密泄漏。通常，URL容易被他人通过日志、Referer或浏览器页面获取。

  • 处置建议：建议使用POST方式，通过Body传递账密数据。

访问控制

• 内部应用公网可访问

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口属于内部应用且未做访问限制，公网可访问。内部应用暴露在公网，可能会被攻击者恶意利用或攻击。

  • 处置建议：建议增加访问控制保护策略，如通过IP白名单的方式限制访问来源。

• 接口未限制访问来源

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口的访问来源存在不符合接口访问来源基线（IP或者地域）。

  • 处置建议：建议增加访问控制保护策略，通过IP黑白名单或区域封禁功能，限制访问来源。

• 接口未限制访问工具

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口访问所使用的客户端类型不符合接口的访问客户端基线。

  • 处置建议：建议增加访问控制保护策略，限制访问工具，避免攻击者使用恶意工具攻击接口或爬取数据。

• 接口未限制访问速率

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口日常访问频率为单IP每分钟多少次，针对此类接口，可配置频次限制策略，避免接口被非法调用。

  • 处置建议：建议增加访问控制保护策略，限制高频访问。

权限管理

• 内部应用公网可访问

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口的鉴权凭据随机性不足，容易被攻击者暴力猜解，导致未授权或越权访问。

  • 处置建议：建议增强鉴权凭据的随机性，避免长度过短或有明显的格式特征。

• 敏感接口未鉴权

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该接口包含高敏感等级数据且可以未授权访问，可能导致敏感数据泄漏。

  • 处置建议：建议增加严格完善的身份验证机制，避免接口被未授权或越权利用。

• 内部接口可未授权访问

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该接口属于内部应用接口且可以未授权访问，可能导致内部应用被越权使用或内部数据泄漏。

  • 处置建议：建议增加严格完善的身份验证机制，避免接口被未授权或越权利用。

• URL传输凭据信息

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口通过URL传输鉴权凭据信息，当URL被他人获取后极易造成权限滥用。通常，URL容易被他人通过日志、Referer或浏览器页面获取。

  • 处置建议：建议使用其他方式传递鉴权凭据，如自定义Header、Cookie、Body等。

• AK信息泄漏

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该接口响应内容中包含AccessKey ID和AccessKey Secret，可能被攻击者非法利用。

  • 处置建议：建议根据业务需求改造接口，避免接口返回AKSK信息。此外，应禁用或删除已泄漏的AccessKey。

• 未授权访问获取STS-Token

  • 等级：中

  • 风险说明：经 API 安全风险检测模型分析，检测到该接口可被未授权访问，且响应内容中包含云平台 STS-Token（临时安全凭证）。攻击者可利用该接口直接获取具备云资源操作权限的临时凭证，可能引发未授权的云服务调用、敏感数据窃取、计算资源滥用、恶意操作执行，甚至导致整个云账户被接管、业务数据大规模外泄及高额费用产生等严重后果。

  • 处置建议：建议立即对该接口实施严格的身份认证与访问控制机制，确保仅授权主体可在受信环境下调用 STS 相关接口，杜绝未授权或越权访问风险。同时，应全面排查已泄露 STS-Token 的权限范围与使用记录，及时撤销相关临时凭证，并对关联的 IAM 角色策略进行安全加固。务必确保 STS 接口不对外暴露，严禁在前端代码、客户端应用或公开仓库中嵌入或调用此类高危接口。

数据保护

• 返回敏感数据类型过多

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口响应内容中包含的敏感数据类型过多，可能存在不必要的数据透出，容易造成数据泄漏。

  • 处置建议：建议根据业务实际需求确认返回各数据类型的必要性，对重要敏感数据脱敏处理并删除不必要的数据类型。

• 返回敏感数据数量过多

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口响应内容中包含敏感数据，未限制返回数据量，容易造成数据大量泄漏。

  • 处置建议：建议根据业务实际需求限制单次返回的数据量，避免攻击者利用该接口大量获取敏感数据。

• 敏感数据未有效脱敏

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口的响应内容中存在将已脱敏和未脱敏的相同数据同时返回前端的情况，未实现有效脱敏。

  • 处置建议：建议结合样例数据确认风险，对于已脱敏处理的数据，应避免在其他位置明文透出。

• 服务器敏感信息泄漏

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该接口的部分响应内容中包含服务器敏感信息，攻击者可能利用该信息攻击服务器获取控制权限。

  • 处置建议：建议结合样例数据确认风险，排查返回数据是否符合预期，避免此类数据直接返回前端。

• 泄漏内网IP地址

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口的响应内容中疑似包含内网IP地址，泄漏内部网络信息，攻击者可能利用该信息攻击内网应用。

  • 处置建议：建议根据业务需求改造接口，避免内部网络信息泄漏。

• URL传输敏感数据

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口通过URL传输高敏感等级数据，当URL被他人获取后可能导致敏感数据泄漏。通常，URL容易被他人通过日志、Referer或浏览器页面获取。

  • 处置建议：在传递敏感数据时，建议使用POST方法将敏感数据通过请求体传输。

• OpenAPI文档泄漏

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口暴露了OpenAPI/Swagger等接口定义文档。攻击者可通过此类文档获取业务API路径、参数结构及业务细节，从而精准构造请求实施批量探测、数据窃取、业务逻辑攻击，甚至发掘敏感接口及潜在未授权操作，严重时可能导致系统敏感数据泄露或被非法操作。

  • 处置建议：建议根据实际业务需求，严格限制接口定义文档对外访问权限。生产环境应关闭或加密开放API文档接口，防止未授权用户访问；如确需开放，务必仅限受信任账号或内网调用。此外，建议定期审查API文档暴露策略，避免携带敏感字段及业务说明；可通过接入身份认证、IP白名单、接口网关等措施强化安全管控，防止外部攻击者获取接口元数据。

• 大模型API-Key泄漏

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，检测到该接口可未授权访问且返回信息中存在大模型服务的API-Key。攻击者可利用该接口窃取大模型API-Key，可能引发未授权的数据访问、实时配额消耗、敏感信息窃取，甚至产生恶意内容、业务数据外泄及账号滥用等严重后果。

  • 处置建议：建议增加严格完善的身份验证机制，避免接口被未授权或越权利用。同时，立即排查API-Key的实际使用情况，及时更换相关密钥，务必确保API-Key只在安全、受控环境下使用，严禁直接暴露于前端或公开库。

接口设计

• 请求参数可遍历

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口的请求参数格式固定易构造，攻击者可能按照该参数特征遍历参数值，批量获取数据。

  • 处置建议：建议根据业务需求提高参数的随机性，避免使用短数字等格式简单、容易猜解的参数值。

• 返回数据量可修改

  • 等级：低

  • 风险说明：经API安全风险检测模型分析，该接口的请求参数用于控制返回数量且可修改为任意值，攻击者可能通过修改该参数，单次获取大量数据。

  • 处置建议：建议根据业务需求增加限制，仅提供少数可选的固定值，避免接口被恶意利用获取大量数据。

• 数据库查询

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该接口的请求参数中包含数据库查询语句，攻击者可能利用该接口执行任意的数据库操作，攻击数据库或窃取重要数据。

  • 处置建议：建议根据业务需求改造接口，避免直接传递数据库查询语句，同时严格限制参数内容并过滤非法字符。

• 命令执行接口

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该接口的请求参数中包含系统命令执行语句，攻击者可能利用该接口执行任意的系统命令，获取服务器控制权限或窃取重要数据。

  • 处置建议：建议根据业务需求改造接口，避免直接传递命令语句，同时严格限制参数内容并过滤非法字符。

• 任意短信内容发送

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该短信发送接口的请求参数中发现手机号及疑似待发送的短信内容，攻击者可能利用该接口向指定号码发送恶意短信。

  • 处置建议：建议根据业务需求改造接口，使用固定模板填充的方式构造待发送的内容。

• 任意邮件内容发送

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该邮件发送接口的请求参数中发现邮箱号及疑似待发送的邮件内容，攻击者可能利用该接口向指定邮箱发送恶意邮件。

  • 处置建议：建议根据业务需求改造接口，使用固定模板填充的方式构造待发送的内容。

• 短信验证码泄漏

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该短信发送接口的响应参数中疑似包含验证码，攻击者可能利用该接口直接获取验证码，绕过短信验证机制。

  • 处置建议：建议根据业务需求改造接口，禁止直接将验证码返回前端，验证码校验过程应在后端完成。

• 邮件验证码泄漏

  • 等级：高

  • 风险说明：经API安全风险检测模型分析，该邮件发送接口的响应参数中疑似包含验证码，攻击者可能利用该接口直接获取验证码，绕过邮件验证机制。

  • 处置建议：建议根据业务需求改造接口，禁止直接将验证码返回前端，验证码校验过程应在后端完成。

• 指定文件下载

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该文件下载接口的请求参数中包含文件路径，攻击者可能通过修改该参数下载任意文件窃取重要数据。

  • 处置建议：建议根据业务需求改造接口，禁止直接通过完整的文件路径下载文件，同时严格限制参数内容并过滤非法字符，避免攻击者利用该接口下载任意文件。

• 应用异常信息泄漏

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口的部分响应内容中包含应用异常信息，攻击者可能通过返回的异常内容，获取服务器应用配置等相关敏感信息。

  • 处置建议：建议优化业务异常处理机制，在发生异常时统一返回指定内容或跳转至指定页面，避免直接返回异常信息导致应用信息泄漏。

• 数据库异常信息泄漏

  • 等级：中

  • 风险说明：经API安全风险检测模型分析，该接口的部分响应内容中包含数据库异常信息，攻击者可能通过返回的异常内容，获取数据库查询语句及库表名等信息，进而发起SQL注入等恶意攻击。

  • 处置建议：建议优化业务异常处理机制，在发生异常时统一返回指定内容或跳转至指定页面，避免直接返回异常信息导致数据库信息泄漏。

自定义

自定义风险规则

• 等级：自定义等级

• 风险说明：经API安全风险检测模型分析，该接口命中自定义风险检测规则。

• 处置建议：显示您在策略配置中输入的内容。

基线异常

• 异常高频访问

  • 事件说明：访问频率远高于接口的日常频率基线，可能存在接口滥用或CC攻击等恶意行为。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常频率分布基线，配置访问频率限制策略，保障接口资源合理使用。

• 异常IP访问内部接口

  • 事件说明：来源IP不符合接口日常访问的IP分布基线，可能存在异常调用行为。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常IP分布基线，配置IP白名单策略并阻断其他IP的访问，保障接口资源合理使用。

• 异常地区访问内部接口

  • 事件说明：IP所属地区不符合接口日常访问的地区分布基线，可能存在异常调用行为。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常地区分布基线，配置区域封禁策略，保障接口资源合理使用。

• 使用异常工具访问

  • 事件说明：访问所用工具不符合接口日常访问的工具分布基线，可能存在异常调用。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常访问工具分布基线，配置ACL访问控制策略或启用Bot防护模块，保障接口资源合理使用。

• 异常时间段访问

  • 事件说明：在异常时间段内，存在调用接口情况，可能出现异常调用。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。

• 参数值异常的访问

  • 事件说明：访问过程中请求参数的格式与日常特征不符，可能存在异常调用或攻击行为。

  • 处置建议：建议结合请求样例数据及日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。若确认存在Web攻击行为，建议结合Web防护模块进行保护，保障接口资源合理使用。

账号风险

• 内部应用弱口令登录

  • 事件说明：IP疑似使用弱口令登录内部应用。

  • 处置建议：建议结合日志详情确认登录是否成功。针对账号服务，建议增加密码强度限制，通常应包含大写、小写、数字、符号的至少三种，且长度不小于8位。对于已存在的弱密码账号，建议及时通知修改。

• 爆破用户名

  • 事件说明：IP进行多次登录尝试，期间使用相对固定的密码但不断变换用户名，疑似爆破用户名的攻击行为。

  • 处置建议：建议结合日志详情确认登录是否成功，定期修改密码并确保不使用弱口令。针对登录服务，建议增加验证码限制登录尝试次数，或配置访问频率限制策略，保障登录接口合理使用。

• 爆破登录密码

  • 事件说明：IP多次进行登录尝试，期间使用相对固定的账号但不断变换密码，疑似对目标账号进行密码爆破的攻击行为。

  • 处置建议：建议结合日志详情确认登录是否成功，定期修改密码并确保不使用弱口令。针对登录服务，建议增加验证码限制登录尝试次数，或配置访问频率限制策略，保障登录接口合理使用。

• 撞库攻击

  • 事件说明：IP多次登录尝试，期间使用大量不同的账密，疑似撞库攻击行为。

  • 处置建议：建议结合日志详情确认登录是否成功，定期修改密码并确保不使用弱口令。针对登录服务，建议增加验证码限制登录尝试次数，或配置访问频率限制策略，保障登录接口合理使用。

• 短信验证码爆破

  • 事件说明：IP多次进行短信验证码校验尝试，期间使用大量不同的验证码，疑似短信验证码爆破的攻击行为。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常频率分布基线，配置访问频率限制策略，保障接口资源合理使用。

• 邮件验证码爆破

  • 事件说明：IP多次进行邮件验证码校验尝试，期间使用大量不同的验证码，疑似邮件验证码爆破的攻击行为。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常频率分布基线，配置访问频率限制策略，保障接口资源合理使用。

• 批量注册

  • 事件说明：IP多次进行注册请求，疑似批量的账号注册行为，可能导致系统产生大量垃圾账号。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常频率分布基线，配置访问频率限制策略，保障接口资源合理使用。

API滥用

• 恶意消耗短信资源

  • 事件说明：IP多次短信发送请求，疑似恶意消耗短信资源或利用接口进行短信轰炸，可能导致业务资损。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，应限制单个手机号发送短信的频次，并结合接口日常频率分布基线，配置访问频率限制策略，保障接口资源合理使用。

• 恶意消耗邮件资源

  • 事件说明：IP多次进行邮件发送请求，疑似恶意消耗邮件服务资源或利用接口进行邮件轰炸，可能影响邮件服务的稳定性。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，应限制单个邮箱发送邮件的频次，并结合接口日常频率分布基线，配置访问频率限制策略，保障接口资源合理使用。

• 批量下载

  • 事件说明：IP多次进行数据导出或下载请求，批量获取了大量文件数据，可能存在数据泄漏风险。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，可以结合接口日常频率分布基线，配置访问频率限制策略，保障接口资源合理使用。

• 遍历爬取接口数据

  • 事件说明：IP多次调用接口，期间存在参数遍历行为，疑似在爬取接口数据。

  • 处置建议：建议结合日志详情排查确认，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。此外，建议根据业务需求提高参数的随机性，避免使用短数字等格式简单、容易猜解的参数值。

• 恶意攻击API接口

  • 事件说明：IP对接口发起Web攻击行为，攻击均已被Web攻击防护模块拦截。

  • 处置建议：建议结合日志详情分析IP行为，对于明确恶意的IP，可通过配置IP黑名单的方式拦截阻断。

敏感数据泄漏

• 未授权访问获取敏感数据

  • 事件说明：IP调用接口访问过程疑似未授权，且获取了敏感数据，可能存在数据泄漏风险。

  • 处置建议：建议结合日志详情排查确认。针对重要接口，应增加严格完善的身份验证机制，避免接口被未授权或越权利用。

• 获取大量敏感数据

  • 事件说明：IP调用接口，获取了多条敏感数据，可能存在数据泄漏风险。

  • 处置建议：建议结合日志详情排查确认。对重要敏感数据脱敏处理并删除不必要的数据类型。此外，可以结合接口日常频率分布基线，配置访问频率限制。

• 境外IP获取大量敏感数据

  • 事件说明：IP调用了接口，访问IP来自境外，且获取了多条敏感数据，可能存在数据泄漏及数据合规风险。

  • 处置建议：建议结合日志详情排查确认。敏感数据跨境传输可能存在合规风险，若确实存在业务需求，建议评估后及时申报或备案。

响应异常

• 接口返回异常报错信息

  • 事件说明：IP调用接口访问过程中，接口疑似返回了异常报错信息，可能导致应用配置等重要信息泄漏。

  • 处置建议：建议结合日志详情排查分析，确认接口运行是否正常。此外，应优化业务异常处理机制，在发生异常时统一返回指定内容或跳转至指定页面，避免直接返回异常信息导致应用信息泄漏。

• 接口返回数据库报错信息

  • 事件说明：IP调用接口访问过程中，接口疑似返回了数据库报错信息，可能导致数据库语句及库表名称等重要信息泄漏。

  • 处置建议：建议结合日志详情排查分析，确认接口运行是否正常。此外，应优化业务异常处理机制，在发生异常时统一返回指定内容或跳转至指定页面，避免直接返回异常信息导致数据库信息泄漏。

• 接口返回系统敏感信息

  • 事件说明：IP调用接口访问过程中，接口疑似返回了重要的服务器敏感信息，存在数据泄漏风险。

  • 处置建议：建议结合日志详情排查分析，确认返回数据是否符合预期，避免此类数据直接返回前端。

• 接口响应状态异常

  • 事件说明：IP调用接口访问过程中，异常响应占比超过80%，疑似源站服务存在异常。

  • 处置建议：建议结合日志详情排查分析，确认接口运行是否正常。

自定义事件

自定义事件规则

• 事件说明：IP调用接口访问行为命中自定义事件检测模型。

• 处置建议：显示用户在策略配置中输入的内容。

账号异常

• 账号使用异常工具访问

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}使用${attack_client}等多种不同工具访问总计${attack_cnt}次，疑似批量自动化攻击或脚本刷接口。

  • 处置建议：建议日志详情排查确认，如存在使用非法工具访问的情况，建议及时限制账号访问。同时，结合接口日常访问工具分布基线，配置ACL访问控制策略或启用Bot防护模块，保障业务资源合理使用。

数据泄漏

• 异常获取大量敏感数据

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}获取${data_type}等敏感数据超过${data_count}条，疑似敏感信息收集行为，存在敏感数据泄漏风险。

  • 处置建议：建议结合日志详情排查确认，若无合理业务依据，应及时限制账号访问，并对相关账号实施数据访问配额与权限收紧策略。同时，对业务中传输的重要敏感数据脱敏处理并删除不必要的数据类型。

• 跨境访问获取敏感数据

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}从${location}等境外地区发起访问，并获取${data_type}等敏感数据超过${data_count}条，疑似恶意抓取或外部攻击，存在敏感数据泄漏或数据合规风险。

  • 处置建议：建议结合日志详情排查确认。敏感数据跨境传输可能存在合规风险，若确实存在业务需求，建议评估后及时申报或备案。

• 异常下载大量文件

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}通过${api_format}等接口下载或导出了大量文件，存在数据泄漏风险。

  • 处置建议：建议结合日志详情排查确认，若属非授权行为，应限制下载频次与总量，并对大文件下载接口增加授权或审批机制。

• 尝试获取其他用户敏感信息

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}通过${api_format}等接口使用不同的${param}参数值获取了多个不同用户的${data_type}等数据，疑似横向越权攻击，存在用户数据泄露风险。

  • 处置建议：建议结合请求参数、目标用户ID、权限上下文等日志详情排查确认；若存在越权行为，应立即限制该账号访问权限，强化接口的权限校验逻辑，并对涉事账号进行风险评估与处置。

• 遍历爬取业务数据

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}通过${api_format}等接口遍历${param}参数值获取数据，疑似业务数据爬虫或批量收集。

  • 处置建议：建议结合日志详情排查确认，若为自动化爬取行为，建议根据接口日常频率基线分布，配置动态速率限制策略，并对关键接口增加防遍历保护（如参数签名或验证码）。

异常操作

• 高频调用API接口

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}对${api_format}等接口存在高频调用行为，疑似自动化攻击或恶意刷接口，存在业务风险。

  • 处置建议：建议结合日志详情排查确认，并根据接口日常频率基线分布，配置动态速率限制策略，保障接口资源的合理调用。

• 访问触发多次异常报错响应

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}在访问过程中多次触发应用或数据库异常报错，疑似存在恶意探测或攻击行为。

  • 处置建议：建议结合日志详情排查确认，若存在探测或攻击行为，应限制账号访问。同时，应优化业务异常处理机制，在发生异常时统一返回指定内容或跳转至指定页面，避免直接返回异常信息导致应用信息泄漏。

• 访问状态码异常

  • 事件说明：经API安全事件检测模型分析，${start_ts}至${end_ts}期间，账号${account}在访问过程中异常响应状态码（4xx/5xx）占比超过${except_rate}，疑似恶意探测或攻击。

  • 处置建议：建议结合日志详情排查确认，若存在探测或攻击行为，应限制账号访问；同时，确认业务运行是否正常。