API安全是Web应用防火墙(WAF)的独立计费模块。该模块依托内置检测机制与自定义检测策略,自动识别已接入防护业务的API资产,检测API风险并上报API攻击事件。同时,支持出境数据审查及敏感数据泄露事件的溯源,保障API在数据安全与合规方面的管控需求。
API安全应用场景
发现未知API,构建资产清单
随着业务快速迭代,开发人员可能发布未经安全团队审核的API,或未能及时下线已废弃的API,导致企业API资产信息不全,形成安全管理盲区。通过API安全资产管理功能,可对业务访问日志进行离线分析,自动识别流量中的全部API接口,并根据接口特征,自动识别API业务用途。
检测API安全风险,监控API恶意攻击
对API的设计或配置不当可能导致安全缺陷,使攻击者未经授权访问敏感接口,或导致用户身份证号、手机号、银行卡号等敏感信息在响应中被泄露。通过API安全风险检测与安全事件模块,可实现精准的风险分析,并提供安全处置建议,及时发现异常访问或攻击行为。
识别数据出境风险,溯源敏感信息泄露事件
(仅限中国内地)当业务需向非中国内地地域提供数据时,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。通过API安全安全合规审查与溯源审计模块,对出境数据实施审查与溯源,快速识别API资产中的数据出境风险,交叉溯源安全事件。
API安全的能力
划分业务用途相关
API安全如何划分API业务用途?
API安全支持通过内置策略对API接口的业务用途进行分类识别,基于URL及参数名的特征自动匹配。同时,也支持根据实际需求配置自定义识别策略。
分类 | 类型名称 |
用户认证类 | 账号密码登录、手机验证码登录、邮箱验证码登录、微信登录、支付宝登录、OAuth认证、OIDC认证、SAML认证、SSO认证、登录服务、注销登录、重置密码 |
用户注册类 | 账号密码注册、手机验证码注册、邮箱验证码注册、微信注册、支付宝注册、注册服务 |
数据操作类 | 数据查询、数据上传、数据下载、添加数据、编辑数据、数据更新、数据分享、数据删除、数据同步、数据提交、数据拷贝、数据审计、数据保存、数据检查 |
订单管理类 | 订单查询、订单导出、订单更新、订单支付 |
日志管理类 | 日志查询、日志上报、日志导出、日志服务 |
文件管理类 | 文件上传、文件下载、文件服务 |
消息通知类 | 短信发送、邮件发送、信息发送、验证码校验 |
后台管理类 | 后台管理、数据看板、监控服务 |
系统控制类 | 取消、启动、批处理、暂停、绑定、调试、设置、关闭、状态检查 |
技术服务类 | GraphQL、SQL服务、大模型对话、MCP服务 |
API安全如何区分接口的服务对象?
服务对象标签用于标识API接口的调用方类型,依据接口命名特征及访问来源的聚集性进行判定。分类如下:
内部办公:面向内部员工提供服务的API接口。
三方合作:面向第三方生态合作方提供的API接口。
公共服务:面向互联网提供服务的API接口。
敏感数据检测相关
API安全支持检测哪些敏感数据?
敏感数据指通过识别模型从接口请求和响应内容中检测出的敏感信息类型。支持配置自定义检测策略。敏感等级划分为S1至S4级,数值越大,等级越高,与数据安全中心标准一致。
身份信息
数据类型 | 英文名称 | 类型 ID | 敏感等级 | 数据归类 |
身份证(中国内地) | ID Card Number (Chinese Mainland) | 1000 | S3 | 个人信息、个人敏感信息 |
姓名(简体中文) | Full Name (Simplified Chinese) | 1002 | S2 | 个人信息 |
护照号(中国内地) | Passport Number (Chinese Mainland) | 1006 | S3 | 个人信息、个人敏感信息 |
港澳通行证 | Mainland Travel Permit for Hong Kong and Macao Residents | 1007 | S3 | 个人信息、个人敏感信息 |
车牌号(中国内地) | License Plate Number (Chinese Mainland) | 1008 | S3 | 个人信息 |
军官证 | Military Officer Card | 1010 | S3 | 个人信息、个人敏感信息 |
性别 | Gender | 1011 | S1 | 个人信息 |
民族 | Ethnic Group | 1012 | S1 | 个人信息 |
身份证(中国香港) | ID Card Number (Hong Kong, China) | 1015 | S3 | 个人信息、个人敏感信息 |
姓名(繁体中文) | Full Name (Traditional Chinese) | 1016 | S2 | 个人信息 |
姓名(英文) | Full Name (English) | 1017 | S2 | 个人信息 |
身份证(马来西亚) | ID Card Number (Malaysia) | 1018 | S3 | 个人信息、个人敏感信息 |
身份证(新加坡) | ID Card Number (Singapore) | 1019 | S3 | 个人信息、个人敏感信息 |
SSN | SSN | 1023 | S3 | 个人信息、个人敏感信息 |
宗教信仰 | Religious Belief | 1025 | S2 | 个人信息、个人敏感信息 |
印度尼西亚家庭卡(KK) | KARTU KELUARGA(KK) | 4412 | S3 | 个人信息、个人敏感信息 |
印度尼西亚智能卡(KIP) | Kartu Indonesia Pintar(KIP) | 4418 | S2 | 个人信息 |
联系方式与位置
数据类型 | 英文名称 | 类型 ID | 敏感等级 | 数据归类 |
地址(中国内地) | Address (Chinese Mainland) | 1003 | S2 | 个人信息 |
手机号(中国内地) | Mobile Number (Chinese Mainland) | 1004 | S3 | 个人信息 |
邮箱 | Email Address | 1005 | S2 | 个人信息 |
电话号码(中国内地) | Phone Number (Chinese Mainland) | 1009 | S2 | 个人信息 |
省份(中国内地) | Province (Chinese Mainland) | 1013 | S1 | / |
城市(中国内地) | City (Chinese Mainland) | 1014 | S1 | / |
电话号码 (美国) | Telephone Number (United States) | 1024 | S2 | 个人信息 |
地址(英文) | Address(English) | 4410 | S2 | 个人信息 |
金融与支付
数据类型 | 英文名称 | 类型 ID | 敏感等级 | 数据归类 |
储蓄银行卡 | Debit Card | 1001 | S3 | 个人信息、个人敏感信息 |
信用卡 借贷银行卡 | Lending Bank Card | 1020 | S3 | 个人信息、个人敏感信息 |
SwiftCode SWIFT Code | SWIFT Code | 1022 | S1 | / |
网络与设备标识
数据类型 | 英文名称 | 类型 ID | 敏感等级 | 数据归类 |
IP 地址 | IP Address | 2000 | S2 | 个人信息 |
MAC 地址 | MAC Address | 2001 | S2 | 个人信息 |
IPv6 地址 | IPv6 Address | 2007 | S2 | 个人信息 |
IMEI | IMEI | 2010 | S2 | 个人信息 |
MEID | MEID | 2011 | S2 | 个人信息 |
URL 链接 | URL | 2015 | S1 | / |
凭据与密钥
数据类型 | 英文名称 | 类型 ID | 敏感等级 | 数据归类 |
JDBC 连接串 | JDBC Connection String | 2002 | S3 | 个人信息、个人敏感信息 |
PEM 证书 | PEM Certificate | 2003 | S3 | 个人信息 |
KEY 私钥 | Private Key | 2004 | S3 | 个人信息、个人敏感信息 |
AccessKeyId | AccessKey ID | 2005 | S3 | 个人信息、个人敏感信息 |
AccessKeySecret | AccessKey Secret | 2006 | S3 | 个人信息、个人敏感信息 |
Linux-Passwd 文件 | Linux Password File | 2013 | S3 | / |
Linux-Shadow 文件 | Linux Shadow File | 2014 | S3 | / |
阿里云 AKSK 密钥对 | Alibaba Cloud AKSK key pair | 4399 | S3 | 个人信息、个人敏感信息 |
OpenAI API Key | Legacy OpenAI API Key | 4400 | S3 | 个人信息、个人敏感信息 |
OpenAI Project API Key | OpenAI Project API Key | 4401 | S3 | 个人信息、个人敏感信息 |
百炼 API Key | Bailian API Key | 4402 | S3 | 个人信息、个人敏感信息 |
HuggingFace API Key | HuggingFace API Key | 4403 | S3 | 个人信息、个人敏感信息 |
Groq API Key | Groq API Key | 4404 | S3 | 个人信息、个人敏感信息 |
PAI-EAS Token | PAI-EAS Token | 4405 | S3 | 个人信息、个人敏感信息 |
企业与通用标识
数据类型 | 英文名称 | 类型 ID | 敏感等级 | 数据归类 |
日期 | Date | 2009 | S1 | / |
营业执照号码 | Business License Number | 4000 | S2 | / |
税务登记证号码 | Tax Registration Certificate Number | 4001 | S2 | / |
组织机构代码 | Organization Code | 4002 | S2 | / |
统一社会信用代码 | Unified Social Credit Code | 4003 | S2 | / |
车辆识别码 | Vehicle Identification Number | 4004 | S2 | / |
API安全的接口敏感等级如何划分?
接口敏感等级部分划分为高敏感、中敏感、低敏感、无。划分规则如下:
高敏感:接口响应内容中包含S3级别及以上的敏感数据类型,或单次返回超过20条S2级别的敏感数据类型。
中敏感:接口响应内容中包含S2级别敏感数据类型。
低敏感:接口响应内容中包含S1级别敏感数据类型。
无敏感:接口响应内容中无敏感数据。
风险与事件相关
API安全支持检测哪些API风险类型?
安全规范
不安全的HTTP方法
等级:低
风险说明:经API安全风险检测模型分析,该接口使用了不安全的HTTP方法,攻击者可能通过此类方法探测服务器信息或直接篡改服务器数据。例如PUT方法可能被攻击者利用上传恶意文件,DELETE方法可能被利用删除服务器资源等。
处置建议:建议根据业务需求改造接口,禁用PUT/DELETE/TRACE/OPTIONS等不安全的HTTP方法。
JWT弱签名算法
等级:低
风险说明:经API安全风险检测模型分析,该接口使用了JWT弱签名算法。
处置建议:建议使用RS256等更安全的签名算法,并保证密钥强度和密钥传输存储过程的安全性。
参数为URL
等级:低
风险说明:经API安全风险检测模型分析,该接口的请求参数的值存在URL链接,可能存在SSRF等攻击风险。
处置建议:建议根据业务需求改造接口,避免直接使用参数中由用户控制的URL,同时严格限制参数内容并过滤非法字符。
账号安全
密码明文传输
等级:低
风险说明:经API安全风险检测模型分析,该接口明文传输账号密码,攻击者可能在传输过程中通过监听等手段窃取用户账密信息,导致账号被盗用。
处置建议:建议对密码字段加密或哈希处理后传输,避免被攻击者监听窃取。
允许弱密码
等级:低
风险说明:经API安全风险检测模型分析,该登录接口存在弱口令,攻击者可能通过暴力破解的方式窃取账号。
处置建议:建议增加密码强度限制,通常应包含大写、小写、数字、符号的至少三种,且长度不小于8位。对于已存在的弱密码账号,建议及时通知修改。
内部应用存在弱口令
等级:高
风险说明:经API安全风险检测模型分析,该内部应用登录接口存在弱口令,攻击者可能通过暴力破解的方式窃取账号。
处置建议:建议增加密码强度限制,通常应包含大写、小写、数字、符号的至少三种,且长度不小于8位。对于已存在的弱密码账号,建议及时通知修改。
存在默认密码
等级:中
风险说明:经API安全风险检测模型分析,该接口应用疑似存在默认密码,攻击者可能利用默认密码窃取未修改密码的账号。
处置建议:建议对存在默认密码的应用,在账号首次登录时强制修改密码。对于当前已存在的账号,建议及时通知修改。
返回明文密码
等级:低
风险说明:经API安全风险检测模型分析,该接口的响应内容中包含明文密码,攻击者可能在传输过程中通过监听等手段窃取用户账密信息,导致账号被盗用。
处置建议:建议根据业务需求改造接口,避免接口返回明文的密码信息。
Cookie中存储密码
等级:低
风险说明:经API安全风险检测模型分析,该接口的Cookie中存储了账号密码信息,易被攻击者窃取。
处置建议:建议根据业务需求改造接口,避免在Cookie中存储账密等重要敏感信息。
登录接口缺乏限制
等级:中
风险说明:经API安全风险检测模型分析,该登录接口疑似缺少验证码限制机制,攻击者可能利用该缺陷无限制爆破账号密码。
处置建议:建议增加验证码限制,特别是当多次登录失败时,可通过增加验证码校验的方式,避免账号爆破等攻击行为。
登录失败提示不合理
等级:低
风险说明:经API安全风险检测模型分析,该登录接口的登录失败提示不合理,可能泄漏账号是否存在的信息。攻击者可能利用该提示枚举已存在的账号并对其进行攻击,或获取用户注册量等重要业务数据。
处置建议:建议在登录失败时,返回“用户名或密码错误”,避免直接提示“用户名不存在”等可能体现账号注册情况的数据。
URL传输账号密码
等级:中
风险说明:经API安全风险检测模型分析,该接口通过URL传输账号密码数据,当URL被他人获取后极易造成账密泄漏。通常,URL容易被他人通过日志、Referer或浏览器页面获取。
处置建议:建议使用POST方式,通过Body传递账密数据。
访问控制
内部应用公网可访问
等级:低
风险说明:经API安全风险检测模型分析,该接口属于内部应用且未做访问限制,公网可访问。内部应用暴露在公网,可能会被攻击者恶意利用或攻击。
处置建议:建议增加访问控制保护策略,如通过IP白名单的方式限制访问来源。
接口未限制访问来源
等级:低
风险说明:经API安全风险检测模型分析,该接口的访问来源存在不符合接口访问来源基线(IP或者地域)。
处置建议:建议增加访问控制保护策略,通过IP黑白名单或区域封禁功能,限制访问来源。
接口未限制访问工具
等级:低
风险说明:经API安全风险检测模型分析,该接口访问所使用的客户端类型不符合接口的访问客户端基线。
处置建议:建议增加访问控制保护策略,限制访问工具,避免攻击者使用恶意工具攻击接口或爬取数据。
接口未限制访问速率
等级:低
风险说明:经API安全风险检测模型分析,该接口日常访问频率为单IP每分钟多少次,针对此类接口,可配置频次限制策略,避免接口被非法调用。
处置建议:建议增加访问控制保护策略,限制高频访问。
权限管理
内部应用公网可访问
等级:中
风险说明:经API安全风险检测模型分析,该接口的鉴权凭据随机性不足,容易被攻击者暴力猜解,导致未授权或越权访问。
处置建议:建议增强鉴权凭据的随机性,避免长度过短或有明显的格式特征。
敏感接口未鉴权
等级:高
风险说明:经API安全风险检测模型分析,该接口包含高敏感等级数据且可以未授权访问,可能导致敏感数据泄漏。
处置建议:建议增加严格完善的身份验证机制,避免接口被未授权或越权利用。
内部接口可未授权访问
等级:高
风险说明:经API安全风险检测模型分析,该接口属于内部应用接口且可以未授权访问,可能导致内部应用被越权使用或内部数据泄漏。
处置建议:建议增加严格完善的身份验证机制,避免接口被未授权或越权利用。
URL传输凭据信息
等级:中
风险说明:经API安全风险检测模型分析,该接口通过URL传输鉴权凭据信息,当URL被他人获取后极易造成权限滥用。通常,URL容易被他人通过日志、Referer或浏览器页面获取。
处置建议:建议使用其他方式传递鉴权凭据,如自定义Header、Cookie、Body等。
AK信息泄漏
等级:高
风险说明:经API安全风险检测模型分析,该接口响应内容中包含AccessKey ID和AccessKey Secret,可能被攻击者非法利用。
处置建议:建议根据业务需求改造接口,避免接口返回AKSK信息。此外,应禁用或删除已泄漏的AccessKey。
数据保护
返回敏感数据类型过多
等级:中
风险说明:经API安全风险检测模型分析,该接口响应内容中包含的敏感数据类型过多,可能存在不必要的数据透出,容易造成数据泄漏。
处置建议:建议根据业务实际需求确认返回各数据类型的必要性,对重要敏感数据脱敏处理并删除不必要的数据类型。
返回敏感数据数量过多
等级:中
风险说明:经API安全风险检测模型分析,该接口响应内容中包含敏感数据,未限制返回数据量,容易造成数据大量泄漏。
处置建议:建议根据业务实际需求限制单次返回的数据量,避免攻击者利用该接口大量获取敏感数据。
敏感数据未有效脱敏
等级:中
风险说明:经API安全风险检测模型分析,该接口的响应内容中存在将已脱敏和未脱敏的相同数据同时返回前端的情况,未实现有效脱敏。
处置建议:建议结合样例数据确认风险,对于已脱敏处理的数据,应避免在其他位置明文透出。
服务器敏感信息泄漏
等级:高
风险说明:经API安全风险检测模型分析,该接口的部分响应内容中包含服务器敏感信息,攻击者可能利用该信息攻击服务器获取控制权限。
处置建议:建议结合样例数据确认风险,排查返回数据是否符合预期,避免此类数据直接返回前端。
泄漏内网IP地址
等级:中
风险说明:经API安全风险检测模型分析,该接口的响应内容中疑似包含内网IP地址,泄漏内部网络信息,攻击者可能利用该信息攻击内网应用。
处置建议:建议根据业务需求改造接口,避免内部网络信息泄漏。
URL传输敏感数据
等级:中
风险说明:经API安全风险检测模型分析,该接口通过URL传输高敏感等级数据,当URL被他人获取后可能导致敏感数据泄漏。通常,URL容易被他人通过日志、Referer或浏览器页面获取。
处置建议:在传递敏感数据时,建议使用POST方法将敏感数据通过请求体传输。
接口设计
请求参数可遍历
等级:低
风险说明:经API安全风险检测模型分析,该接口的请求参数格式固定易构造,攻击者可能按照该参数特征遍历参数值,批量获取数据。
处置建议:建议根据业务需求提高参数的随机性,避免使用短数字等格式简单、容易猜解的参数值。
返回数据量可修改
等级:低
风险说明:经API安全风险检测模型分析,该接口的请求参数用于控制返回数量且可修改为任意值,攻击者可能通过修改该参数,单次获取大量数据。
处置建议:建议根据业务需求增加限制,仅提供少数可选的固定值,避免接口被恶意利用获取大量数据。
数据库查询
等级:高
风险说明:经API安全风险检测模型分析,该接口的请求参数中包含数据库查询语句,攻击者可能利用该接口执行任意的数据库操作,攻击数据库或窃取重要数据。
处置建议:建议根据业务需求改造接口,避免直接传递数据库查询语句,同时严格限制参数内容并过滤非法字符。
命令执行接口
等级:高
风险说明:经API安全风险检测模型分析,该接口的请求参数中包含系统命令执行语句,攻击者可能利用该接口执行任意的系统命令,获取服务器控制权限或窃取重要数据。
处置建议:建议根据业务需求改造接口,避免直接传递命令语句,同时严格限制参数内容并过滤非法字符。
任意短信内容发送
等级:中
风险说明:经API安全风险检测模型分析,该短信发送接口的请求参数中发现手机号及疑似待发送的短信内容,攻击者可能利用该接口向指定号码发送恶意短信。
处置建议:建议根据业务需求改造接口,使用固定模板填充的方式构造待发送的内容。
任意邮件内容发送
等级:中
风险说明:经API安全风险检测模型分析,该邮件发送接口的请求参数中发现邮箱号及疑似待发送的邮件内容,攻击者可能利用该接口向指定邮箱发送恶意邮件。
处置建议:建议根据业务需求改造接口,使用固定模板填充的方式构造待发送的内容。
短信验证码泄漏
等级:高
风险说明:经API安全风险检测模型分析,该短信发送接口的响应参数中疑似包含验证码,攻击者可能利用该接口直接获取验证码,绕过短信验证机制。
处置建议:建议根据业务需求改造接口,禁止直接将验证码返回前端,验证码校验过程应在后端完成。
邮件验证码泄漏
等级:高
风险说明:经API安全风险检测模型分析,该邮件发送接口的响应参数中疑似包含验证码,攻击者可能利用该接口直接获取验证码,绕过邮件验证机制。
处置建议:建议根据业务需求改造接口,禁止直接将验证码返回前端,验证码校验过程应在后端完成。
指定文件下载
等级:中
风险说明:经API安全风险检测模型分析,该文件下载接口的请求参数中包含文件路径,攻击者可能通过修改该参数下载任意文件窃取重要数据。
处置建议:建议根据业务需求改造接口,禁止直接通过完整的文件路径下载文件,同时严格限制参数内容并过滤非法字符,避免攻击者利用该接口下载任意文件。
应用异常信息泄漏
等级:中
风险说明:经API安全风险检测模型分析,该接口的部分响应内容中包含应用异常信息,攻击者可能通过返回的异常内容,获取服务器应用配置等相关敏感信息。
处置建议:建议优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致应用信息泄漏。
数据库异常信息泄漏
等级:中
风险说明:经API安全风险检测模型分析,该接口的部分响应内容中包含数据库异常信息,攻击者可能通过返回的异常内容,获取数据库查询语句及库表名等信息,进而发起SQL注入等恶意攻击。
处置建议:建议优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致数据库信息泄漏。
自定义
自定义风险规则
等级:自定义等级
风险说明:经API安全风险检测模型分析,该接口命中自定义风险检测规则。
处置建议:显示您在策略配置中输入的内容。
API安全支持检测哪些异常事件类型?
基线异常
异常高频访问
事件说明:访问频率远高于接口的日常频率基线,可能存在接口滥用或CC攻击等恶意行为。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。
异常IP访问内部接口
事件说明:来源IP不符合接口日常访问的IP分布基线,可能存在异常调用行为。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常IP分布基线,配置IP白名单策略并阻断其他IP的访问,保障接口资源合理使用。
异常地区访问内部接口
事件说明:IP所属地区不符合接口日常访问的地区分布基线,可能存在异常调用行为。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常地区分布基线,配置区域封禁策略,保障接口资源合理使用。
使用异常工具访问
事件说明:访问所用工具不符合接口日常访问的工具分布基线,可能存在异常调用。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常访问工具分布基线,配置ACL访问控制策略或启用Bot防护模块,保障接口资源合理使用。
异常时间段访问
事件说明:在异常时间段内,存在调用接口情况,可能出现异常调用。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。
参数值异常的访问
事件说明:访问过程中请求参数的格式与日常特征不符,可能存在异常调用或攻击行为。
处置建议:建议结合请求样例数据及日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。若确认存在Web攻击行为,建议结合Web防护模块进行保护,保障接口资源合理使用。
账号风险
内部应用弱口令登录
事件说明:IP疑似使用弱口令登录内部应用。
处置建议:建议结合日志详情确认登录是否成功。针对账号服务,建议增加密码强度限制,通常应包含大写、小写、数字、符号的至少三种,且长度不小于8位。对于已存在的弱密码账号,建议及时通知修改。
爆破用户名
事件说明:IP进行多次登录尝试,期间使用相对固定的密码但不断变换用户名,疑似爆破用户名的攻击行为。
处置建议:建议结合日志详情确认登录是否成功,定期修改密码并确保不使用弱口令。针对登录服务,建议增加验证码限制登录尝试次数,或配置访问频率限制策略,保障登录接口合理使用。
爆破登录密码
事件说明:IP多次进行登录尝试,期间使用相对固定的账号但不断变换密码,疑似对目标账号进行密码爆破的攻击行为。
处置建议:建议结合日志详情确认登录是否成功,定期修改密码并确保不使用弱口令。针对登录服务,建议增加验证码限制登录尝试次数,或配置访问频率限制策略,保障登录接口合理使用。
撞库攻击
事件说明:IP多次登录尝试,期间使用大量不同的账密,疑似撞库攻击行为。
处置建议:建议结合日志详情确认登录是否成功,定期修改密码并确保不使用弱口令。针对登录服务,建议增加验证码限制登录尝试次数,或配置访问频率限制策略,保障登录接口合理使用。
短信验证码爆破
事件说明:IP多次进行短信验证码校验尝试,期间使用大量不同的验证码,疑似短信验证码爆破的攻击行为。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。
邮件验证码爆破
事件说明:IP多次进行邮件验证码校验尝试,期间使用大量不同的验证码,疑似邮件验证码爆破的攻击行为。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。
批量注册
事件说明:IP多次进行注册请求,疑似批量的账号注册行为,可能导致系统产生大量垃圾账号。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。
API滥用
恶意消耗短信资源
事件说明:IP多次短信发送请求,疑似恶意消耗短信资源或利用接口进行短信轰炸,可能导致业务资损。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,应限制单个手机号发送短信的频次,并结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。
恶意消耗邮件资源
事件说明:IP多次进行邮件发送请求,疑似恶意消耗邮件服务资源或利用接口进行邮件轰炸,可能影响邮件服务的稳定性。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,应限制单个邮箱发送邮件的频次,并结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。
批量下载
事件说明:IP多次进行数据导出或下载请求,批量获取了大量文件数据,可能存在数据泄漏风险。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。
遍历爬取接口数据
事件说明:IP多次调用接口,期间存在参数遍历行为,疑似在爬取接口数据。
处置建议:建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,建议根据业务需求提高参数的随机性,避免使用短数字等格式简单、容易猜解的参数值。
恶意攻击API接口
事件说明:IP对接口发起Web攻击行为,攻击均已被Web攻击防护模块拦截。
处置建议:建议结合日志详情分析IP行为,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。
敏感数据泄漏
未授权访问获取敏感数据
事件说明:IP调用接口访问过程疑似未授权,且获取了敏感数据,可能存在数据泄漏风险。
处置建议:建议结合日志详情排查确认。针对重要接口,应增加严格完善的身份验证机制,避免接口被未授权或越权利用。
获取大量敏感数据
事件说明:IP调用接口,获取了多条敏感数据,可能存在数据泄漏风险。
处置建议:建议结合日志详情排查确认。对重要敏感数据脱敏处理并删除不必要的数据类型。此外,可以结合接口日常频率分布基线,配置访问频率限制。
境外IP获取大量敏感数据
事件说明:IP调用了接口,访问IP来自境外,且获取了多条敏感数据,可能存在数据泄漏及数据合规风险。
处置建议:建议结合日志详情排查确认。敏感数据跨境传输可能存在合规风险,若确实存在业务需求,建议评估后及时申报或备案。
响应异常
接口返回异常报错信息
事件说明:IP调用接口访问过程中,接口疑似返回了异常报错信息,可能导致应用配置等重要信息泄漏。
处置建议:建议结合日志详情排查分析,确认接口运行是否正常。此外,应优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致应用信息泄漏。
接口返回数据库报错信息
事件说明:IP调用接口访问过程中,接口疑似返回了数据库报错信息,可能导致数据库语句及库表名称等重要信息泄漏。
处置建议:建议结合日志详情排查分析,确认接口运行是否正常。此外,应优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致数据库信息泄漏。
接口返回系统敏感信息
事件说明:IP调用接口访问过程中,接口疑似返回了重要的服务器敏感信息,存在数据泄漏风险。
处置建议:建议结合日志详情排查分析,确认返回数据是否符合预期,避免此类数据直接返回前端。
接口响应状态异常
事件说明:IP调用接口访问过程中,异常响应占比超过80%,疑似源站服务存在异常。
处置建议:建议结合日志详情排查分析,确认接口运行是否正常。
自定义事件
自定义事件规则
事件说明:IP调用接口访问行为命中自定义事件检测模型。
处置建议:显示用户在策略配置中输入的内容。
API安全如何帮助企业降低数据安全泄漏风险?
API安全支持检测API漏洞,还原API异常事件,并提供详细的漏洞处理建议。
API漏洞:企业可能将内部接口(例如用于内部办公、开发测试、运营管理的接口)暴露在公网上,从而导致攻击者可以通过API获取敏感数据。
API异常事件:API在预定义的业务需求和访问场景下出现异常行为,即不符合正常基线的行为。
数据出境相关
(仅限中国内地)出境数据申报和备案的标准是什么?
需申报(满足以下任一项)
自上年1月1日起累计向境外提供个人信息关联自然人数大于100000。
自上年1月1日起累计向境外提供个人敏感信息关联自然人数大于10000。
自上年1月1日起存在数据出境行为且累计流转个人信息关联自然人数大于1000000。
无需申报
自上年1月1日起累计向境外提供个人信息关联自然人数小于100000。
自上年1月1日起累计向境外提供个人敏感信息关联自然人数小于10000。
自上年1月1日起存在数据出境行为且累计流转个人信息关联自然人数小于1000000。
初步评估API安全态势
在开通API安全前,可通过基础检测功能了解自身的API安全状况。WAF 3.0实例默认免费开启该功能,基于WAF日志进行离线分析,提供安全事件总览、资产总览及安全事件列表等数据。页面将展示API资产统计、异常事件统计,并列出最近发生的10起API异常调用事件。
基础检测功能的检测能力弱于付费的API安全服务,检测结果可能存在偏差或延迟。
基础检测功能不提供数据详情查看。
进入API安全页面,在顶部菜单栏选择资源组和地域(中国内地、非中国内地)。
在基础检测区域,查看基础检测数据。
安全事件总览:包括API安全事件总数、高危事件数、中危事件数和低危事件数。
资产总数:包括API资产总数、活跃API数、失活API数。
安全事件列表:通过卡片,查看安全事件的名称、API路径、域名、攻击源和产生时间。
开通API安全服务
API安全所有的计算和分析均离线完成,不会主动探测接口,不会对业务运行产生任何影响。
API安全通过检测符合特定特征的请求与响应内容,识别API存在的数据泄露风险。开通API安全即表示授权WAF执行相应分析。开通前,须结合实际业务场景进行评估。
进入API安全页面,在顶部菜单栏选择资源组和地域(中国内地、非中国内地)。
开通API安全。
开通试用API安全
说明高级版、企业版、旗舰版可免费试用一次API安全,试用时长为7天。
试用结束后,若未开通正式版本,试用期间生成的分析数据将被立即清除。如需保留试用期间的数据,请在试用结束前,开通正式版API安全。
在API安全页面,单击申请7天免费POC。
开通正式版API安全
在API安全页面,单击立即启用。选择API安全开启后,单击立即购买并完成支付。
查看API安全概览页
在API安全页面的概览页签,可以查看API资产走势、风险走势、攻击走势、风险站点统计、受攻击站点统计、请求敏感数据类型统计、响应敏感数据类型统计图表,统计周期默认为30天。
支持的查询与筛选操作
在API资产走势、风险走势、攻击走势图中,可以单击走势图下方的属性,如API资产总数、活跃API数等,筛选希望展示在走势图中的数据。
在风险站点统计、受攻击站点统计、请求敏感数据类型统计、响应敏感数据类型统计表中,支持对展示的数据进行升序和降序排列的切换。也可以单击表格右上角的查看更多按钮跳转对应页签查看详情。
配额与限制
云产品接入(FC或SAE 2.0)的防护对象暂不支持API安全功能。MSE接入时,云原生网关引擎版本需为2.0.4及以上。
包年包月基础版不支持API安全。