API安全

更新时间: 2024-06-03 14:58:27

API安全模块基于内置检测机制和自定义检测策略,自动梳理已接入Web应用防火墙(Web Application Firewall,简称WAF)防护的业务的API资产,检测API风险(例如未授权访问、敏感数据过度暴露、内部接口泄露等),通过报表还原API异常事件,审查出境数据和溯源敏感数据泄露事件,为您提供详细的风险处理建议和API生命周期管理参考数据,帮助您实现API安全防护。本文介绍如何进行使用API安全功能进行防护。

什么是API安全防护

在数字经济时代,商业环境变化迅速,企业对外部环境变化的快速响应提出了更高要求。数据需要流通并分享给第三方,以加快效率。通过API接口实现系统之间的相互通信已成为企业内外部系统集成的重要手段。越来越多的行业客户通过API开放平台将自身能力和资源开放,以打造产业生态。合作伙伴可以借助开放的优质资源进行快速的集成和创新,从而促进API经济的诞生,实现数据交互产生更多价值。对于企业服务,提供海量的API服务以及数据增值服务成为一项重要工作。然而,随着API的快速发展,面临的风险也在同步增加。攻击者可能在未授权的情况下获取API接口的访问权限,错误配置、非法的API访问请求可能导致敏感数据泄漏。因此,Web应用防火墙通过API监测和流量可视化,自动发现和归类API业务,形成正常的访问请求模型。一旦发现异常API访问,便能结合WAF的处置能力形成闭环。

如何检测您的API安全状态

在开通API安全前,您可以通过基础检测,查看安全事件总览、资产总览和安全事件列表数据,帮助您了解您的API安全信息。包年包月实例默认开启基础检测。如果您不希望了解相关数据,您也可以直接跳过该步骤。

说明

按量付费实例暂不支持基础检测功能。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > 场景防护 > API安全

  3. 基础检测区域,查看基础检测数据。

    • 安全事件总览:包括API安全事件总数、高危事件数、中危事件数和低危事件数。

    • 资产总数:包括API资产总数、活跃API数、失活API数。

    • 安全事件列表:通过卡片,查看安全事件的名称、API路径、域名、攻击源和产生时间。

    如果您希望查看传输敏感数据API数,或查看安全事件的更多风险详情和处置建议,您可以开通API安全。

    如果您不希望进行基础检测,您也可以单击基础检测开关,关闭该功能。

开通API安全服务

准备工作

已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0开通按量付费WAF 3.0

说明

云产品接入(MSE、FC或SAE 2.0)的防护对象暂不支持该功能。

如何开通API安全

重要
  • API安全所有的计算和分析均离线完成,不会主动探测接口,不会对业务运行产生任何影响。

  • API安全会检测符合指定特征的请求响应的内容,用于判断API是否存在数据泄露风险。开通API安全,就意味着授权WAF进行相关分析。开通前,请根据实际业务进行评估。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > 场景防护 > API安全

  3. 开通API安全。

    • 开通试用API安全

      说明
      • 每个阿里云账号可免费试用一次API安全。

      • 试用时长为开通后的7天内。试用结束后,如果您未开通正式版本,试用期间生成的分析数据将被立即清除。如果您需要保留试用期间的数据,继续使用API安全,请在试用结束前,开通正式版API安全。

      API安全页面,单击申请体验。按照API安全解决方案试用申请页面的提示,填写试用申请信息并单击提交

      阿里云工程师在收到试用申请的一周时间内,将通过提交的联系方式联系您,与您确认试用相关事宜。试用申请审核通过后,您的WAF实例会自动开通API安全功能。

    • 开通正式版API安全

      1. API安全页面,单击立即开通

      2. 立即开通面板,选择API安全开启后,单击立即购买并完成支付。

功能介绍及相关操作

API安全主要包含四个功能大类:资产信息、风险与事件统计、合规审查与溯源审计以及策略配置。

  • 资产信息模块支持资产信息的查询、统计和管理。

  • 风险与事件统计模块支持风险检测、安全事件和整体概览维度的数据查询统计。

  • 如果您的业务需要对非中国内地地域提供数据时,您需要向所在地省级网信部门向国家网信部门申报数据出境安全评估。您可以使用API安全合规审查和溯源审计功能,对出境数据进行审查和溯源。仅中国内地支持。

  • 策略配置支持您在风险检测、安全事件、敏感数据、鉴权凭据、业务用途、生命周期管理、生效对象查询您配置的相关策略,更改策略的开启与禁用状态。除了默认配置以外,支持您自主配置自定义策略。

API安全的主要功能部分主要包含下表所示的页签。

页面名称

功能类目

功能简介

概览

-

包含API资产走势、风险走势及站点统计、攻击走势及站点统计、请求敏感数据类型统计、响应敏感数据类型统计图表。

资产管理

资产信息

API安全通过离线分析业务访问日志,自动检测流量中存在的所有API,并支持根据接口特征,自动识别API业务用途。

风险检测

风险与事件统计

检测API存在的未授权访问、敏感数据暴露等各类安全风险,并提供详细的风险分析及安全处置建议。

安全事件

风险与事件统计

监控分析API的调用行为,及时发现各类异常访问或攻击行为。

合规审查

合规审查与溯源审计

依据《数据出境安全评估办法》,API安全对如下场景的出境数据(包括个人信息数据、个人敏感信息数据)进行合规审查,帮助您快速识别API资产中存在的数据出境风险:

  • 关键信息基础设置运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。

  • 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

溯源审计

合规审查与溯源审计

当发生敏感数据安全事件时,API安全支持通过日志和敏感数据样例数据,交叉溯源安全事件。

策略配置

策略配置

在内置检测机制的基础上,API安全支持自定义符合业务特征的检测策略,使得识别出的API资产更符合实际业务情况,进一步提高API安全检测的准确率与召回率。支持防护对象级别开启API安全,灵活控制API安全的生效对象。

资产信息、风险与事件统计

API安全数据查询的功能主要包括概览、资产管理、风险检测以及安全事件页签。

查看概览数据

API安全页面的概览页签,包含API资产走势风险走势风险站点统计攻击走势受攻击站点统计请求敏感数据类型统计响应敏感数据类型统计图表,如下图示。统计周期默认为30天。

截屏2024-05-09 18

支持的查询与筛选操作

  • API资产走势风险走势攻击走势图中,您可以根据您的数据需求单击走势图下方的属性,如API资产总数、活跃API数等,筛选您希望展示在走势图中的数据。

  • 风险站点统计、受攻击站点统计请求敏感数据类型统计响应敏感数据类型统计表中,支持您对展示的数据进行升序和降序排列的切换。

  • 如果您想查看风险检测的更多信息,可以单击风险站点统计表格右上角的查看更多按钮,跳转到对应页面查看详情。您也可以单击表格内的对应数字跳转到对应页面查看该筛选条件下的详情内容。

  • 如果您想查看安全事件的更多信息,可以单击受攻击站点统计表格右上角的查看更多按钮,跳转到对应页面查看详情。您也可以单击表格内的对应数字跳转到对应页面查看该筛选条件下的详情内容。

  • 如果您想查看资产管理的更多信息,可以单击请求敏感数据类型统计表格,或者响应敏感数据类型统计表格右上角的查看更多按钮,跳转对应页面查看详情。您也可以单击表格内的对应数字跳转到对应页面查看该筛选条件下的详情内容。

说明

关于敏感数据的等级划分可以参考

查看资产管理数据

通过单击资产管理页签或者概览页签的请求敏感数据类型统计表格右上角的查看更多按钮,或者响应敏感数据类型统计表格右上角的查看更多按钮,您可以进入页签查看您的API资产数据详情。

一、页面功能介绍

API安全页面的资产管理页签,可以查看API资产管理数据统计与条件搜索相关信息。该页签主要包含三个功能模块:API资产总览、左侧站点栏、API资产列表。

API资产总览

通过统计数据,展示API资产总数今日新增数、活跃API数失活API数响应涉敏站点数响应涉敏API数跨境数据传输API数存在及其请求API数

您可以在API资产列表下单击今日新增失活API数响应涉敏站点数、响应涉敏API数统计的对应数字,在API资产列表下查看该部分的详细数据。统计数据默认统计周期为30天。

左侧站点栏

左侧站点展示了您的站点名称及站点包含的API数,您可以通过单击希望查询的站点,在API资产列表处查看对应站点的详细数据列表。

API资产列表

API资产列表支持您通过如下方法,查找目标API资产:

  • 简单搜索

    在API风险列表上方的搜索框,单击展开图标,选择API、或备注,并输入对应的API接口地址、或备注。

  • 高级搜索

    单击更多筛选,设置时间、请求敏感数据类型响应敏感数据类型服务对象业务用途请求方法活跃状态关注状态鉴权接口敏感等级等搜索条件。完成搜索条件设置后单击搜索按钮进行查询操作,具体搜索条件下表所示。

条件名称

说明

设置展示项

单击列表右上角的设置图标,选择要在列表中展示的数据字段。

时间

默认时间范围为30天内的数据(从昨日起30天24小时整,加今日截止查询时有记录的数据),此外还支持的快捷查询包括最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7天的数据。自定义时刻查询的最小粒度为10分钟。

请求敏感数据类型

支持多选。

说明

关于敏感数据类型的详细信息,请参见敏感数据类型说明

响应敏感数据类型

支持多选。

说明

关于敏感数据类型的详细信息,请参见敏感数据类型说明

服务对象

支持多选。

说明

关于服务对象类型的更多信息,请参见接口的服务对象说明

业务用途

支持多选。

说明

关于业务用途类型的更多信息,请参见API安全如何划分API业务用途

请求方法

支持多选。

活跃状态

单选。

关注状态

单选。

鉴权

单选。

接口敏感等级

支持多选。

说明

关于接口的敏感等级说明,请参见接口敏感数据等级说明

二、管理目标API

定位到目标API后,您可以通过如下方法,管理目标API:

  • 关注API

    单击关注列的image图标。

  • 备注API

    单击备注列的image图标,填写备注信息后,单击image图标。

  • 查看API资产对应的风险或事件详情

    单击风险/事件列下的数字,在API风险详情列表,查看风险或事件详情。

  • 查看API资产详情

    单击目标API名称,在API详情页面,查看如下信息:

    • 基本信息

      • 支持查看API、域名、请求方法、敏感数据类型、服务对象、业务用途、首次发现时间、最近活跃时间、备注信息等。

      • 支持修改备注信息。

    • 请求样例

      • 请求样例页签,查看请求样例,及其请求参数类型、响应敏感信息样例。

      • 单击浏览器打开,直接使用浏览器打开GET请求。

      • 单击命令行,将请求样例转换为命令行。单击一键复制,手工访问请求。

      • 单击复制代码,复制请求样例。

    • 风险及事件

      1. 风险及事件页签,单击风险检测安全事件

      2. 定位到目标风险或事件,单击操作列的查看详情,在详情页处置风险。

    • 防护建议

      防护建议页签,查看API调用基线曲线图和防护建议。您可以根据该建议,配置对应防护策略。

    • 流量分析

      支持查看该API资产的如下流量分析数据:

      • 近30天的总调用量、机器请求量、跨境请求量。

      • API总流量、机器流量、跨境流量近30天访问趋势、Top 20访问源。

      • Referer统计、客户端类型统计、客户端类型统计数据。

三、API详情

您可以单击API资产列表中的API列链接进入API详情抽屉页,也可以在弹出的抽屉页右上方单击截屏2024-05-09 18图标进入API详情页面查看API资产详情。

API详情页面包含API资产的详细信息,以及请求样例流量分析风险及事件防护建议页签。

请求样例

  • 请求样例包含最多五个随机抽样的API请求样例,并支持单击拆分展示合并展示的切换展示形式进行查看

    • 拆分展示支持将样例分为常规请求头响应头请求体响应体进行查看和单独复制。

    • 合并展示支持将样例分为请求样例响应样例进行查看和单独复制,方便您进行流量重放。

  • 单击浏览器打开,可以进行快速验证操作,单击命令行可以获取命令内容进行手工访问验证。

  • 请求参数类型响应参数类型是API安全功能通过流量基线识别标记当前样例的请求参数和响应参数的名称、值特征以及参数位置。

流量分析

流量分析展示了API接口30天内的访问走势,统计了接口的总调用量机器请求量跨境请求量TOP20访问源列出了30天内,从总流量、机器流量、跨境流量维度排名前20的访问源。客户端来源统计从Referer、客户端、地理位置三个维度统计了30天内访问客户端的来源。

风险及事件

风险及事件展示了该API涉及的风险事件和安全事件并支持快速跳转。

防护建议

根据API调用基线的情况给出了对应的防护建议。

四、导出与下载

仅阿里云主账号支持该功能。

  1. 单击API列表右上角的下载图标,API安全将为您创建一个导出任务。

  2. 单击API安全页面右上角的导出记录。定位到要下载的文件,单击操作列的下载

说明
  • 如果您设置了查询条件,则导出文件只包含查询到的数据,否则将包含所有数据。

  • 导出文件生成后将暂存在WAF控制台,三天后会过期,过期文件不支持下载。请您在文件有效期内及时下载文件。

  • 下载的文件被保存在浏览器的默认保存位置,您可以前往默认保存位置查看下载的文件。

查看安全事件数据

通过单击安全事件页签,或受攻击站点统计表格右上角的查看更多按钮,您可以进入页签查看您的安全事件详情。

一、页面功能介绍

API安全页面的风险检测页签,可以查看API风险检测分析数据统计与条件搜索相关信息。该页签主要包含三个功能模块:攻击影响统计、左侧事件类型栏、API安全事件详情。

攻击影响统计

攻击影响统计包括受攻击的域名数受攻击的API数高危事件数今日新增中危事件数今日新增低危事件数今日新增。您可以单击对应数字在API安全事件详情处查看该条件下的API安全事件的详细数据。统计数据默认统计周期为30天。

左侧事件类型栏

左侧事件类型栏展示了您的API存在的风险类型及对应数量,您可以通过单击对应事件类型,在API安全事件详情处查看该事件类型的列表详细数据。

API安全事件详情

API安全事件详情支持您通过如下方法,查找目标API安全事件:

  • 简单搜索

    在API安全事件列表上方的搜索框,单击展开图标,选择API、或事件ID,并输入对应的API名称或ID,点击搜索钮进行查询操作。支持模糊搜索。

  • 高级搜索

    单击更多筛选,设置时间、事件等级状态业务用途域名类型等搜索条件。完成搜索条件设置后,单击搜索按钮进行查询操作,具体搜索条件如下表所示。

条件名称

说明

设置展示项

单击列表右上角的设置图标,选择要在列表中展示的数据字段。

时间

默认时间范围为30天内的数据(从昨日起30天24小时整,加今日截止查询时有记录的数据),此外还支持的快捷查询包括最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7天的数据。自定义时刻查询的最小粒度为10分钟。

事件等级

支持多选。

状态

支持多选。

业务用途

支持多选。

说明

关于业务用途的更多信息,请参见API安全如何划分API业务用途?

域名

单选。

类型

单选。

二、查看与管理API安全事件

定位到目标API安全事件后,您可以通过如下方法,管理API安全事件:

  • 修改API安全事件状态

    定位到目标安全事件ID,单击状态列的image图标,选择要修改的安全事件状态后,单击确定

  • 查看风险涉及的API安全事件

    单击目标安全事件的来源API,在API详情页面,查看API资产。更多信息,请参见API详情页面说明

  • 查看API安全事件详情

    单击目标事件ID操作列的查看详情,在事件详情页面,查看如下详情:

    • 基本信息

      • 支持查看API、事件ID、域名、业务用途、状态等。

      • 支持修改安全事件状态。

        安全事件状态设置为已确认误报忽略时,可填写备注信息。

    • 事件详情

      • 事件详情页签,查看攻击源、攻击开始时间、结束时间、攻击次数、事件说明、请求数据、响应数据、处置建议等。

      • 单击日志详情,查看该事件的日志信息。

    • 操作记录

      记录安全事件的处置信息。

三、导出API安全事件数据

仅阿里云主账号支持该功能。

  1. 单击API安全事件详情右上角的下载图标,API安全将为您创建一个导出任务。

  2. 单击API安全页面右上角的导出记录。定位到要下载的文件,单击操作列的下载

说明
  • 如果您设置了查询条件,则导出文件只包含查询到的数据,否则包含所有数据。

  • 导出文件生成后将暂存在WAF控制台,三天后会过期,过期文件不支持下载。请您在文件有效期内及时下载文件。

  • 下载的文件被保存在浏览器的默认保存位置,您可以前往默认保存位置查看下载的文件。

查看风险检测数据

通过单击风险检测页签或者风险站点统计表格右上角的查看更多按钮,您可以进入页签查看您的风险检测详情。

一、页面功能介绍

API安全页面的风险检测页签,可以查看API风险检测分析数据统计与条件搜索相关信息。该页签主要包含三个功能模块:风险统计、左侧风险类型栏、API风险详情。

风险统计

风险统计部分包括风险影响统计风险状态统计,统计周期默认为30天。

  • 风险影响统计:包含风险域名数与风险API数,高风险及今日新增数、中风险及今日新增数、低风险及今日新增数。您可以单击对应数字在API风险详情处查看该条件下的API风险详细数据。

  • 风险状态统计:包含待确认、待修复、已确认、已修复、忽略状态统计数。您可以单击对应数字在API风险详情处查看该条件下的列表详细数据。

左侧风险类型栏

左侧风险类型栏展示了您的API存在的风险类型及对应数量,您可以通过单击对应风险类型,在API风险详情处查看该风险类型的API详细数据。

说明

API风险详情

API风险详情支持您通过如下方法,查找目标API风险:

  • 简单搜索

    在API风险列表上方的搜索框,单击展开图标,选择API、或风险ID,并输入对应的API名称或ID,点击搜索钮进行查询操作。支持模糊搜索。

  • 高级搜索

    单击更多筛选,设置时间、风险等级状态业务用途域名类型等搜索条件。完成搜索条件设置后单击搜索按钮进行查询操作,具体搜索条件下表所示。

条件名称

说明

设置展示项

单击列表右上角的设置图标,选择要在列表中展示的数据字段。

时间

默认时间范围为30天内的数据(从昨日起30天24小时整,加今日截止查询时有记录的数据),此外还支持的快捷查询包括最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7天的数据。自定义时刻查询的最小粒度为10分钟。

风险等级

支持多选。

状态

支持多选。

业务用途

支持多选。

说明

关于业务用途的更多信息,请参见API安全如何划分API业务用途?

域名

单选。

类型

单选。

二、查看与管理API风险

定位到目标API风险后,您可以通过如下方法,查看与管理目标API风险:

  • 修改API风险状态

    单击状态列的image图标,选择要修改的风险状态后,单击确定

  • 查看风险涉及的API资产

    单击目标风险的来源API,在API详情页面,查看API资产。更多信息,请参见API详情页面说明

  • 查看API风险详情

    单击目标风险ID操作列的查看详情,在风险详情页面,查看如下详情:

    • 基本信息

      • 支持查看API、风险ID、首次发现时间、最近活跃时间、风险描述、检测逻辑、处置建议、域名、业务用途、状态等。

      • 支持修改风险状态。

        风险状态设置为已确认误报忽略时,可填写备注信息;设置为忽略时,须填写忽略至的时间。

    • 风险验证

      风险验证页签,查看请求样例。执行如下操作:

      • 风险验证页签,查看请求样例。

      • 单击浏览器打开,直接使用浏览器打开GET请求。

      • 单击命令行,将请求样例转换为命令行。单击一键复制,手工访问该请求。

      • 单击复制代码,复制请求样例。

    • 操作记录

      操作记录页签,查看风险事件的处置记录。

三、导出API风险数据

仅阿里云主账号支持该功能。

  1. 单击API风险详情右上角的下载图标,API安全将为您创建一个导出任务。

  2. 单击API安全页面右上角的导出记录。定位到要下载的文件,单击操作列的下载

说明
  • 如果您设置了查询条件,则导出文件只包含查询到的数据,否则包含所有数据。

  • 导出文件生成后将暂存在WAF控制台,三天后会过期,过期文件不支持下载。请您在文件有效期内及时下载文件。

  • 下载的文件被保存在浏览器的默认保存位置,您可以前往默认保存位置查看下载的文件。

合规审查

API安全页面的合规审查页签,查看指定时间段和生效对象的API合规审查数据。

  • 设置检测时间段

    默认自去年1月1日起至今。您也可以单击变更检测配置,设置任意时间段的评估周期后,单击保存配置

    说明

    变更检测配置为一次性操作,查看完当前时间段的检测数据,刷新页面后,检测时间段会自动变更为默认时间段。

  • 设置生效对象

    合规审查默认对接入WAF所有流量进行分析,如果您不需要分析某些防护对象的流量,可关闭该防护对象的合规审查开关。具体操作,请参见生效对象配置

  • 查看TOP出境流量分布

    模块左侧默认显示降序显示出境流量前十的国家及该国家具体出境个人信息数量。可以通过调节高低水位来筛选地图中高亮的国家(分布排行不随筛选水位调整变动)。

合规审查页面详细的功能模块说明,如下表所示。

功能模块

说明

检测结果

通过统计数据,展示个人信息数据类型定义、个人敏感信息数据类型定义在指定时间段的检测结果:

  • 不存在数据出境风险

  • 存在数据出境风险(需备案)

  • 存在数据出境风险(需申报)

检测列表

通过统计数据,展示个人信息出境数据条数、个人信息出境数据关联自然人人数的检测项评估结果。

数据出境数据走势

通过趋势图,展示出境敏感信息数量、个人信息总数、出境个人信息数量在指定时间段的走势。

出境数据流向分布

通过世界地图,展示出境数据流向的分布情况。颜色越深,表示流向的数据越多。

  • 鼠标悬置地图上,可查看数据出境的目的地,以及出境的个人信息数量和敏感信息数量。

  • 支持放大或缩小世界地图。

个人信息出境类型统计

通过列表,展示自去年1月1日至今向境外提供的不同数据量级的个人信息、敏感个人信息,及其评估结果。关于评估结果的评判标准,请参见出境数据申报和备案的标准是什么

个人信息涉及站点及接口统计

通过列表,展示不同站点下的API接口出境的个人信息、敏感个人信息数量。

溯源审计

API安全页面的溯源审计页签,进行敏感数据溯源。

重要

溯源审计功能默认关闭,您可以在策略配置 > 生效对象配置页签,开启目标防护对象的溯源审计开关。具体操作,请参见生效对象配置

功能

说明

日志查询

支持溯源获取敏感数据泄露IP地址、接口和所属域名、敏感数据泄漏的详细信息等。

  • IP地址统计:展示获取敏感信息的IP地址,并根据敏感信息量级,从大到小排序。

  • 域名统计:展示出站敏感数据的域名,并根据敏感数据量级,从大到小排序。

  • 敏感数据类型统计:展示泄露的敏感数据类型,并根据不同类型的数据量级,从大到小排序。

  • 敏感数据接口统计:展示泄漏敏感数据的接口和所属域名,并根据敏感数据量级,从大到小排序。

  • 访问日志详情:展示敏感数据泄露的详细日志信息。

    您可以通过域名、API敏感数据类型、IP地址等筛选具体的日志信息。

数据溯源

设置要查询的敏感数据样例,获取溯源结果。

  1. 策略配置 > 生效对象配置页签,开启目标防护对象的数据溯源开关。

  2. 选择敏感数据类型后,填写要查询的样例数据。

    说明

    输入的样例数据越多,交叉验证后,溯源的准确性越高。支持最多输入5个查询样例数据,多个样例数据间用半角逗号(,)隔开。

  3. 单击溯源结果操作列的查看详情,在日志查询页签,查看溯源信息。

策略配置

在内置检测机制的基础上,API安全支持自定义符合业务特征的检测策略。您可以进行风险检测配置、安全事件配置敏感数据配置、鉴权凭据配置、生命周期管理和生效对象配置,使得识别出的API数据更符合您的实际业务情况,进一步提高API安全检测的准确率与召回率。

风险检测配置

在策略配置的风险检测配置页签,可以查看已经配置的风险策略,内置策略目前不支持编辑修改或删除。除了内置策略外,风险检测配置允许您自定义配置最多20条自定义策略,自定义策略配置规则如下。

  1. API安全页面,选择策略配置风险检测配置页签。

  2. 在左栏自定义策略处单击新增,在弹出的抽屉页进行相关配置,具体的配置项如下表所示。

    配置项名称

    说明

    风险状态

    设置策略状态,默认为开。

    风险名称

    设置自定义风险的名称。支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    处置建议

    根据您的业务情况设置自定义风险策略的处理建议。

    风险等级

    支持低危、中危、高危三个风险等级设置。

    检测设置

    设置您的自定义风险策略检测条件,最多支持10个条件。

    关于检测设置的详细配置,对应逻辑符和匹配内容示例如下表所示。

    说明

    匹配内容可以输入最多50个,并按回车键确认。

    详细配置

    匹配字段

    逻辑符

    匹配内容示例

    域名

    包含多值之一

    不包含多值之一

    等于多值之一

    不等于多值之一

    -

    API

    包含多值之一

    不包含多值之一

    等于多值之一

    不等于多值之一

    -

    请求方法

    等于多值之一

    不等于任一值

    -

    User-Agent

    包含多值之一

    不包含多值之一

    等于多值之一

    不等于多值之一

    -

    Referer

    包含多值之一

    不包含多值之一

    等于多值之一

    不等于多值之一

    -

    通信协议

    等于

    列表,可选HTTP/HTTPS

    请求Content-Type

    包含多值之一

    不包含任一值

    -

    请求长度

    等于

    值小于

    值大于

    -

    响应Content-Type

    包含多值之一

    不包含任一值

    -

    响应长度

    等于

    值小于

    值大于

    限制为0-8192的整数

    响应状态码

    等于多值之一

    不等于多值之一

    输入状态码值,支持2%%方式

    请求Header

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    Cookie参数

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    GET参数

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    POST参数

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    响应Header

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    响应参数

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    业务用途

    包含多值之一

    不包含任意一值

    业务用途列表

    说明

    关于业务用途类型的更多信息,请参见API安全如何划分API业务用途?

    服务对象

    包含多值之一

    不包含任意一值

    服务对象列表

    说明

    关于服务对象类型的更多信息,请参见接口的服务对象说明

    鉴权属性

    等于

    是/否

    请求敏感数据类型

    包含多值之一

    不包含任一值

    种类数大于

    勾选敏感数据类型列表,支持多选;种类数大于条件下为0-8192的整数

    请求敏感数据等级

    包含多值之一

    不包含任一值

    S1~S4

    响应敏感数据类型

    包含多值之一

    不包含任一值

    种类数大于

    勾选敏感数据类型列表,支持多选;种类数大于条件下为0-8192的整数

    响应敏感数据等级

    包含多值之一

    不包含任一值

    S1~S4

    响应敏感数据

    数量大于

    限制为0-8192的整数

    访问源地理位置

    等于

    中国内地/非中国内地

    访问源IP

    属于

    不属于

    输入IP地址/网段

    (10.0.0.1, 10.0.0.2/24)

  3. 当您完成自定义配置时单击确定按钮保存该配置。

安全事件配置

在策略配置的安全事件配置页签,可以查看已经配置的安全事件策略,内置策略目前不支持编辑修改或删除。除了内置策略外,安全事件配置允许您自定义配置最多10条自定义策略,自定义策略配置规则如下。

  1. API安全页面,选择策略配置安全事件配置页签。

  2. 在左栏自定义策略处单击新增,在弹出的抽屉页进行相关配置,具体的配置项如下表所示。

    配置项名称

    说明

    事件状态

    设置策略状态,默认为开。

    事件名称

    设置自定义风险的名称。支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    处置建议

    根据您的业务情况设置自定义安全事件的处理建议。

    风险等级

    支持低危、中危、高危三个风险等级的设置。

    匹配条件

    设置您的自定义安全事件策略检测条件,最多支持10个条件。

    说明

    如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

    统计周期

    以分钟为粒度,最大可设置为15分钟。

    请求量

    限制输入正整数。

    数据统计

    设置您的自定义安全事件策略统计条件,最多支持10个条件。

    关于检测设置的详细配置,对应逻辑符和匹配内容示例详细信息请参考检测详细配置说明

    说明

    匹配内容最多输入50个,并按回车键确认。

    关于数据统计的详细配置,对应逻辑符和匹配内容示例如下表所示。

    详细配置

    匹配字段

    子条件(需要输入/选择)

    逻辑符

    匹配内容

    状态码统计

    状态码(100-600的整数)

    值大于

    限制为0-8192的整数

    请求Header

    参数名

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数

    Cookie参数

    参数名

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数

    GET参数

    参数名

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数

    POST参数

    参数名

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数

    响应敏感数据类型

    敏感数据类型,支持多选

    去重大于

    限制为0-8192的整数

    响应敏感数据等级

    敏感数据等级,支持多选

    去重大于

    限制为0-8192的整数

  3. 当您完成自定义配置时单击确定按钮保存该配置。

敏感数据配置

在策略配置的敏感数据配置页签,可以搜索、筛选、查看已经配置的敏感数据策略。

内置策略目前不支持编辑修改或删除。除了内置策略外,敏感数据配置允许您自定义配置最多20条自定义策略,自定义策略配置规则如下。

  1. API安全页面,选择策略配置敏感数据配置页签。

  2. 单击新建策略按钮,在弹出的抽屉页进行相关配置,目前支持简易模式专家模式两种模式的自定义策略配置方法。

    配置项

    说明

    名称

    为该规则设置一个名称。

    支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    模式

    设置自定义策略的检测模式。

    • 简易模式:提供简易的配置界面,便于操作。

      选择简易模式后,您需要设置检测的字符长度

      • 字符:支持检测数字、大写字母、小写字母,可多选。

      • 长度:支持检测的长度范围为6~64,且起始值和结束值需为整数。

    • 专家模式:支持正则表达式。

      选择专家模式后,您需要填写检测的正则表达式。为避免误识别,请确保正则匹配的命中字符不少于6位。

    等级

    设置检测的敏感数据的等级。可选项:S1、S2、S3、S4。

    说明

    关于敏感数据等级的详细信息,请参见敏感数据类型说明

  3. 当您完成自定义配置时单击确定按钮保存该配置。

鉴权凭据配置

在系统内置的鉴权凭据识别的基础上,您可以指定某一参数名,用于判断Request请求中是否携带鉴权凭据,从而提升API安全,以及提高未鉴权风险识别的准确率。

  1. API安全页面,选择策略配置鉴权凭据配置页签。

  2. 单击新建策略,完成如下配置后,单击确定

    配置项

    说明

    名称

    为该策略设置一个名称。

    支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    匹配条件

    每个条件由匹配字段逻辑符匹配内容组成。最多支持10个条件。在配置时请添加至少一个请求Header、请求Cookie、请求Query、请求Body的匹配条件。

    说明

    如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

    关于匹配条件的详细配置,对应逻辑符和匹配内容示例如下表所示。

    说明

    匹配内容可以输入最多50个,并按回车键确认。

    详细配置

    匹配字段

    逻辑符

    匹配内容

    域名

    包含多值之一

    不包含多值之一

    等于多值之一

    不等于多值之一

    -

    API

    包含多值之一

    不包含多值之一

    等于多值之一

    不等于多值之一

    -

    请求Header参数名

    等于多值之一

    包含多值之一

    -

    请求Cookie参数名

    等于多值之一

    包含多值之一

    -

    请求Query参数名

    等于多值之一

    包含多值之一

    -

    请求Body参数名

    等于多值之一

    包含多值之一

    -

    请求敏感数据类型

    等于多值之一

    不等于任一值

    支持列表多选

    响应敏感数据类型

    等于多值之一

    不等于任一值

    支持列表多选

    响应参数名

    等于多值之一

    包含多值之一

    -

业务用途策略配置

API安全提供如下两种业务用途策略:

  • 内置策略

    支持多个场景的业务用途策略,包括数据更新、数据分享、手机短信发送、信息发送等。您可以根据业务需要,开启或关闭对应策略。内置策略不支持修改或删除。

  • 自定义策略

    如果内置策略不满足业务需求,您可以自定义URL特征、参数名特征,进一步提升API安全在具体业务场景中的检测准确率。

    1. API安全页面,选择策略配置业务用途配置页签。

    2. 单击自定义策略进入自定义策略管理,单击新建策略,完成如下配置后,单击确定保存您的配置。

      说明

      匹配内容可以输入最多50个,并按回车键确认。

      详细配置

      配置项

      逻辑符

      匹配内容

      域名

      包含多值之一

      不包含多值之一

      等于多值之一

      不等于多值之一

      -

      API

      包含多值之一

      不包含多值之一

      等于多值之一

      不等于多值之一

      -

      请求Header参数名

      等于多值之一

      包含多值之一

      -

      请求Cookie参数名

      等于多值之一

      包含多值之一

      -

      请求Query参数名

      等于多值之一

      包含多值之一

      -

      请求Body参数名

      等于多值之一

      包含多值之一

      -

      请求敏感数据类型

      等于多值之一

      不等于任一值

      支持列表多选

      响应敏感数据类型

      等于多值之一

      不等于任一值

      支持列表多选

      响应参数名

      等于多值之一

      包含多值之一

      -

生命周期管理

API安全支持通过设置日访问量、持续时间,来自定义失活接口的判断标准,使得失活API检测更符合业务情况。

  1. API安全页面,选择策略配置生命周期管理页签。

  2. 设置失活API判断标准后,单击确定

    • 单击内置模型

      表示使用内置的判断标准,即近30天无访问量或访问量大幅下跌的API接口为失活API。

    • 单击自定义,并设置日访问量、持续时间(最大为31天)。

      表示如果某一API接口持续在一段时间内的日访问量小于设置的次数时,该API接口被判定为失活API。

生效对象配置

API安全提供三个防护对象或防护对象组级别的生效开关:

  • 总开关:控制所有内置检测机制和自定义检测策略是否生效。

  • 合规审查开关:控制合规审查功能是否生效,仅在总开关开启后,才能开启。

  • 溯源审计开关:控制溯源审计功能是否生效,仅在总开关开启后,才能开启。

域名或实例接入WAF后,不同计费模式下,API安全开关默认生效规则不同:

  • 包年包月模式:总开关默认开启、合规审查溯源审计开关默认关闭。

  • 按量付费模式:总开关默认关闭。

您可以在策略配置 > 生效对象配置页签,开启或关闭总开关合规审查溯源审计开关。

相关问题

您可以在云监控控制台设置API安全事件的监控和告警,使WAF在检测到高危风险事件时向您发送告警通知,帮助您及时掌握API资产的安全状态。具体操作,请参见设置WAF攻击事件的监控与告警

您可以从以下问题了解更多关于API安全的能力:

  • API安全如何划分API业务用途?

    API安全内置的业务用途如下表所示。

    类型名称

    账号密码登录

    手机验证码登录

    邮箱验证码登录

    微信登录

    支付宝登录

    OAuth认证

    OIDC认证

    SAML认证

    SSO认证

    登录服务

    注销登录

    账号密码注册

    手机验证码注册

    邮箱验证码注册

    微信注册

    支付宝注册

    注册服务

    短信发送

    邮件发送

    重置密码

    验证码校验

    状态检查

    订单查询

    订单导出

    订单更新

    订单支付

    日志查询

    日志上报

    日志导出

    日志服务

    GraphQL

    SQL服务

    文件上传

    文件下载

    文件服务

    后台管理

    数据看板

    监控服务

    信息发送

    数据检查

    数据查询

    数据上传

    数据下载

    添加数据

    编辑数据

    数据更新

    数据分享

    数据删除

    数据同步

    数据提交

    数据拷贝

    数据审计

    数据保存

    取消

    启动

    批处理

    暂停

    绑定

    调试

    设置

    关闭

  • API安全如何区分接口的服务对象?

    通过API接口的访问聚集度分析,分为三类:

    • 内部办公:面向内部员工提供服务的API接口。

    • 三方合作:面向第三方生态合作方提供的API接口。

    • 公共服务:面向互联网提供服务的API接口。

  • API安全支持检测哪些敏感数据?

    敏感数据是指识别模型从接口请求和响应内容中检出的敏感数据类型,该功能支持自定义,敏感等级标签按照S划分,与数据安全中心对齐。

    默认支持的敏感数据的等级及归类如下表所示。

    数据类型

    敏感等级

    数据归类

    身份证(中国内地)

    S3

    个人信息、个人敏感信息

    储蓄银行卡

    S3

    个人信息、个人敏感信息

    姓名(简体中文)

    S2

    个人信息

    地址(中国内地)

    S2

    个人信息

    手机号(中国内地)

    S2

    个人信息

    邮箱

    S2

    个人信息

    护照号(中国内地)

    S3

    个人信息、个人敏感信息

    港澳通行证

    S3

    个人信息、个人敏感信息

    车牌号(中国内地)

    S2

    个人信息

    电话号码(中国内地)

    S2

    个人信息

    军官证

    S3

    个人信息、个人敏感信息

    性别

    S2

    个人信息

    民族

    S2

    个人信息

    省份(中国内地)

    S1

    城市(中国内地)

    S1

    身份证(中国香港)

    S3

    个人信息、个人敏感信息

    姓名(繁体中文)

    S2

    个人信息

    姓名(英文)

    S2

    个人信息

    身份证(马来西亚)

    S3

    个人信息、个人敏感信息

    身份证(新加坡)

    S3

    个人信息、个人敏感信息

    信用卡 借贷银行卡

    S3

    个人信息、个人敏感信息

    SwiftCode SWIFT Code

    S1

    SSN

    S3

    个人信息、个人敏感信息

    电话号码 (美国)

    S2

    个人信息

    宗教信仰

    S3

    个人信息、个人敏感信息

    IP地址

    S2

    个人信息

    MAC地址

    S2

    个人信息

    JDBC连接串

    S3

    个人信息、个人敏感信息

    PEM证书

    S2

    个人信息、个人敏感信息

    KEY私钥

    S3

    个人信息、个人敏感信息

    AccessKeyId

    S3

    个人信息、个人敏感信息

    AccessKeySecret

    S3

    个人信息、个人敏感信息

    IPv6地址

    S2

    个人信息

    日期

    S1

    IMEI

    S2

    个人信息

    MEID

    S2

    个人信息

    Linux-Passwd文件

    S3

    Linux-Shadow文件

    S3

    URL链接

    S1

    营业执照号码

    S1

    税务登记证号码

    S1

    组织机构代码

    S1

    统一社会信用代码

    S1

    车辆识别码

    S2

    接口敏感等级部分划分为高敏感、中敏感、低敏感、无。接口敏感等级的划分规则如下。

    • 高敏感:接口响应内容中包含S3级别及以上的敏感数据类型,或单次返回超过20条S2级别的敏感数据类型

    • 中敏感:接口响应内容中包含S2级别敏感数据类型

    • 低敏感:接口响应内容中包含S1级别敏感数据类型

    • 无敏感:接口响应内容中无敏感数据

  • API安全支持检测哪些API风险类型?

    风险大类

    类型名称

    等级

    风险说明

    处置建议

    安全规范

    不安全的HTTP方法

    经API安全风险检测模型分析,该接口使用了不安全的HTTP方法,攻击者可能通过此类方法探测服务器信息或直接篡改服务器数据。例如PUT方法可能被攻击者利用上传恶意文件,DELETE方法可能被利用删除服务器资源等。

    建议根据业务需求改造接口,禁用PUT/DELETE/TRACE/OPTIONS等不安全的HTTP方法。

    JWT弱签名算法

    经API安全风险检测模型分析,该接口使用了JWT弱签名算法。

    建议使用RS256等更安全的签名算法,并保证密钥强度和密钥传输存储过程的安全性。

    参数为URL

    经API安全风险检测模型分析,该接口的请求参数${risk_param}为URL链接,可能存在SSRF等攻击风险。

    建议根据业务需求改造接口,避免直接使用参数中由用户控制的URL,同时严格限制参数内容并过滤非法字符。

    账号安全

    密码明文传输

    经API安全风险检测模型分析,该接口明文传输账号密码,攻击者可能在传输过程中通过监听等手段窃取用户账密信息,导致账号被盗用。

    建议对密码字段加密或哈希处理后传输,避免被攻击者监听窃取。

    允许弱密码

    经API安全风险检测模型分析,该登录接口存在弱口令,攻击者可能通过暴力破解的方式窃取账号。

    建议增加密码强度限制,通常应包含大写、小写、数字、符号的至少三种,且长度不小于8位。对于已存在的弱密码账号,建议及时通知修改。

    内部应用存在弱口令

    经API安全风险检测模型分析,该内部应用登录接口存在弱口令,攻击者可能通过暴力破解的方式窃取账号。

    建议增加密码强度限制,通常应包含大写、小写、数字、符号的至少三种,且长度不小于8位。对于已存在的弱密码账号,建议及时通知修改。

    存在默认密码

    经API安全风险检测模型分析,该接口应用疑似存在默认密码,攻击者可能利用默认密码窃取未修改密码的账号。

    建议对存在默认密码的应用,在账号首次登录时强制修改密码。对于当前已存在的账号,建议及时通知修改。

    返回明文密码

    经API安全风险检测模型分析,该接口的响应内容中包含明文密码,攻击者可能在传输过程中通过监听等手段窃取用户账密信息,导致账号被盗用。

    建议根据业务需求改造接口,避免接口返回明文的密码信息。

    Cookie中存储密码

    经API安全风险检测模型分析,该接口的Cookie中存储了账号密码信息,易被攻击者窃取。

    建议根据业务需求改造接口,避免在Cookie中存储账密等重要敏感信息。

    登录接口缺乏限制

    经API安全风险检测模型分析,该登录接口疑似缺少验证码限制机制,攻击者可能利用该缺陷无限制爆破账号密码。

    建议增加验证码限制,特别是当多次登录失败时,可通过增加验证码校验的方式,避免账号爆破等攻击行为。

    登录失败提示不合理

    经API安全风险检测模型分析,该登录接口的登录失败提示不合理,可能泄漏账号是否存在的信息。攻击者可能利用该提示枚举已存在的账号并对其进行攻击,或获取用户注册量等重要业务数据。

    建议在登录失败时,返回“用户名或密码错误”,避免直接提示“用户名不存在”等可能体现账号注册情况的数据。

    URL传输账号密码

    经API安全风险检测模型分析,该接口通过URL传输账号密码数据,当URL被他人获取后极易造成账密泄漏。通常,URL容易被他人通过日志、Referer或浏览器页面获取

    建议使用POST方式,通过Body传递账密数据。

    访问控制

    内部应用公网可访问

    经API安全风险检测模型分析,该接口属于内部应用且未做访问限制,公网可访问。内部应用暴露在公网,可能会被攻击者恶意利用或攻击。

    建议增加访问控制保护策略,如通过IP白名单的方式限制访问来源。

    接口未限制访问来

    经API安全风险检测模型分析,该接口的日常访问来源主要集中在${location},针对此类接口,可通过配置IP或区域黑白名单限制访问,避免接口被非法调用。

    建议增加访问控制保护策略,通过IP黑白名单或区域封禁功能,限制访问来源。

    接口未限制访问工具

    经API安全风险检测模型分析,该接口的日常访问主要使用${client}等工具,针对此类接口,可通过配置客户端工具策略限制访问,避免接口被非法调用。

    建议增加访问控制保护策略,限制访问工具,避免攻击者使用恶意工具攻击接口或爬取数据。

    接口未限制访问速率

    经API安全风险检测模型分析,该接口日常访问频率为单IP每分钟${freq_baseline}次,针对此类接口,可配置频次限制策略,避免接口被非法调用。

    建议增加访问控制保护策略,限制高频访问。

    权限管理

    鉴权凭据强度较弱

    经API安全风险检测模型分析,该接口的鉴权凭据随机性不足,容易被攻击者暴力猜解,导致未授权或越权访问。

    建议增强鉴权凭据的随机性,避免长度过短或有明显的格式特征。

    敏感接口未鉴权

    经API安全风险检测模型分析,该接口包含${data_type}高敏感等级数据且可以未授权访问,可能导致敏感数据泄漏。

    建议增加严格完善的身份验证机制,避免接口被未授权或越权利用。

    内部接口可未授权访问

    经API安全风险检测模型分析,该接口属于内部应用接口且可以未授权访问,可能导致内部应用被越权使用或内部数据泄漏。

    建议增加严格完善的身份验证机制,避免接口被未授权或越权利用。

    URL传输凭据信息

    经API安全风险检测模型分析,该接口通过URL传输鉴权凭据信息,当URL被他人获取后极易造成权限滥用。通常,URL容易被他人通过日志、Referer或浏览器页面获取。

    建议使用其他方式传递鉴权凭据,如自定义Header、Cookie、Body等。

    AK信息泄漏

    经API安全风险检测模型分析,该接口响应内容中包含AccessKey ID和AccessKey Secret,可能被攻击者非法利用。

    建议根据业务需求改造接口,避免接口返回AKSK信息。此外,应禁用或删除已泄漏的AccessKey。

    数据保护

    返回敏感数据类型过多

    经API安全风险检测模型分析,该接口响应内容中包含的敏感数据类型过多,可能存在不必要的数据透出,容易造成数据泄漏。

    建议根据业务实际需求确认返回各数据类型的必要性,对重要敏感数据脱敏处理并删除不必要的数据类型。

    返回敏感数据数量过多

    经API安全风险检测模型分析,该接口响应内容中包含超过${data_count}条的${data_type}等类型的敏感数据,未限制返回数据量,容易造成数据大量泄漏。

    建议根据业务实际需求限制单次返回的数据量,避免攻击者利用该接口大量获取敏感数据。

    敏感数据未有效脱敏

    经API安全风险检测模型分析,该接口的响应内容中存在将已脱敏和未脱敏的相同数据同时返回前端的情况,未实现有效脱敏。

    建议结合样例数据确认风险,对于已脱敏处理的数据,应避免在其他位置明文透出。

    服务器敏感信息泄

    经API安全风险检测模型分析,该接口的部分响应内容中包含服务器敏感信息,攻击者可能利用该信息攻击服务器获取控制权限。

    建议结合样例数据确认风险,排查返回数据是否符合预期,避免此类数据直接返回前端。

    泄漏内网IP地址

    经API安全风险检测模型分析,该接口的响应内容中疑似包含内网IP地址,泄漏内部网络信息,攻击者可能利用该信息攻击内网应用。

    建议根据业务需求改造接口,避免内部网络信息泄漏。

    URL传输敏感数据

    经API安全风险检测模型分析,该接口通过URL传输高敏感等级数据,当URL被他人获取后可能导致敏感数据泄漏。通常,URL容易被他人通过日志、Referer或浏览器页面获取。

    在传递敏感数据时,建议使用POST方法将敏感数据通过请求体传输。

    接口设计

    请求参数可遍历

    经API安全风险检测模型分析,该接口的请求参数格式固定易构造,攻击者可能按照该参数特征遍历参数值,批量获取数据。

    建议根据业务需求提高参数的随机性,避免使用短数字等格式简单、容易猜解的参数值。

    返回数据量可修改

    经API安全风险检测模型分析,该接口的请求参数用于控制返回数量且可修改为任意值,攻击者可能通过修改该参数,单次获取大量数据。

    建议根据业务需求增加限制,仅提供少数可选的固定值,避免接口被恶意利用获取大量数据。

    数据库查询

    经API安全风险检测模型分析,该接口的请求参数中包含数据库查询语句,攻击者可能利用该接口执行任意的数据库操作,攻击数据库或窃取重要数据。

    建议根据业务需求改造接口,避免直接传递数据库查询语句,同时严格限制参数内容并过滤非法字符。

    命令执行接口

    经API安全风险检测模型分析,该接口的请求参数中包含系统命令执行语句,攻击者可能利用该接口执行任意的系统命令,获取服务器控制权限或窃取重要数据。

    建议根据业务需求改造接口,避免直接传递命令语句,同时严格限制参数内容并过滤非法字符。

    任意短信内容发送

    经API安全风险检测模型分析,该短信发送接口的请求参数中发现手机号及疑似待发送的短信内容,攻击者可能利用该接口向指定号码发送恶意短信。

    建议根据业务需求改造接口,使用固定模板填充的方式构造待发送的内容。

    任意邮件内容发送

    经API安全风险检测模型分析,该邮件发送接口的请求参数中发现邮箱号及疑似待发送的邮件内容,攻击者可能利用该接口向指定邮箱发送恶意邮件。

    建议根据业务需求改造接口,使用固定模板填充的方式构造待发送的内容。

    短信验证码泄漏

    经API安全风险检测模型分析,该短信发送接口的响应参数中疑似包含验证码,攻击者可能利用该接口直接获取验证码,绕过短信验证机制。

    建议根据业务需求改造接口,禁止直接将验证码返回前端,验证码校验过程应在后端完成。

    邮件验证码泄漏

    经API安全风险检测模型分析,该邮件发送接口的响应参数中疑似包含验证码,攻击者可能利用该接口直接获取验证码,绕过邮件验证机制。

    建议根据业务需求改造接口,禁止直接将验证码返回前端,验证码校验过程应在后端完成。

    指定文件下载

    经API安全风险检测模型分析,该文件下载接口的请求参数中包含文件路径,攻击者可能通过修改该参数下载任意文件窃取重要数据。

    建议根据业务需求改造接口,禁止直接通过完整的文件路径下载文件,同时严格限制参数内容并过滤非法字符,避免攻击者利用该接口下载任意文件。

    应用异常信息泄漏

    经API安全风险检测模型分析,该接口的部分响应内容中包含应用异常信息,攻击者可能通过返回的异常内容,获取服务器应用配置等相关敏感信息。

    建议优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致应用信息泄漏。

    数据库异常信息泄漏

    经API安全风险检测模型分析,该接口的部分响应内容中包含数据库异常信息,攻击者可能通过返回的异常内容,获取数据库查询语句及库表名等信息,进而发起SQL注入等恶意攻击。

    建议优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致数据库信息泄漏。

    自定义

    自定义风险规则

    自定义等级

    经API安全风险检测模型分析,该接口命中自定义风险检测规则。

    显示您在策略配置中输入的内容。

  • API安全支持检测哪些异常事件类型?

    大类名称

    类型名称

    事件说明

    处置建议

    基线异常

    异常高频访问

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,最高时每分钟请求超过${max_cnt}次。访问频率远高于接口的日常频率基线每分钟${freq_baseline}次,可能存在接口滥用或CC攻击等恶意行为。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。

    异常IP访问内部接口

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,该来源IP不符合接口日常访问的IP分布基线${ip_baseline},可能存在异常调用行为。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常IP分布基线,配置IP白名单策略并阻断其他IP的访问,保障接口资源合理使用。

    异常地区访问内部接口

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,IP所属地区不符合接口日常访问的地区分布基线${province_baseline},可能存在异常调用行为。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常地区分布基线,配置区域封禁策略,保障接口资源合理使用。

    使用异常工具访问

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问所用工具${attack_client}不符合接口日常访问的工具分布基线${client_baseline},可能存在异常调用。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常访问工具分布基线,配置ACL访问控制策略或启用Bot防护模块,保障接口资源合理使用。

    异常时间段访问

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,可能存在异常调用。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。

    参数值异常的访问

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问过程中请求参数${param}的格式与日常特征不符,可能存在异常调用或攻击行为。

    建议结合请求样例数据及日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。若确认存在Web攻击行为,建议结合Web防护模块进行保护,保障接口资源合理使用。

    账号风险

    内部应用弱口令登录

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}疑似使用弱口令${weak_account}登录内部应用。

    建议结合日志详情确认登录是否成功。针对账号服务,建议增加密码强度限制,通常应包含大写、小写、数字、符号的至少三种,且长度不小于8位。对于已存在的弱密码账号,建议及时通知修改。

    爆破用户名

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次登录尝试,期间使用相对固定的密码但不断变换用户名,疑似爆破用户名的攻击行为。

    建议结合日志详情确认登录是否成功,定期修改密码并确保不使用弱口令。针对登录服务,建议增加验证码限制登录尝试次数,或配置访问频率限制策略,保障登录接口合理使用。

    爆破登录密码

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次登录尝试,期间使用相对固定的账号但不断变换密码,疑似对目标账号进行密码爆破的攻击行为。

    建议结合日志详情确认登录是否成功,定期修改密码并确保不使用弱口令。针对登录服务,建议增加验证码限制登录尝试次数,或配置访问频率限制策略,保障登录接口合理使用。

    撞库攻击

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次登录尝试,期间使用大量不同的账密,疑似撞库攻击行为。

    建议结合日志详情确认登录是否成功,定期修改密码并确保不使用弱口令。针对登录服务,建议增加验证码限制登录尝试次数,或配置访问频率限制策略,保障登录接口合理使用。

    短信验证码爆破

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次短信验证码校验尝试,期间使用大量不同的验证码,疑似短信验证码爆破的攻击行为。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。

    邮件验证码爆破

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次邮件验证码校验尝试,期间使用大量不同的验证码,疑似邮件验证码爆破的攻击行为。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。

    批量注册

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次注册请求,疑似批量的账号注册行为,可能导致系统产生大量垃圾账号。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。

    API滥用

    恶意消耗短信资

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次短信发送请求,疑似恶意消耗短信资源或利用接口进行短信轰炸,可能导致业务资损。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,应限制单个手机号发送短信的频次,并结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。

    恶意消耗邮件资源

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次邮件发送请求,疑似恶意消耗邮件服务资源或利用接口进行邮件轰炸,可能影响邮件服务的稳定性。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,应限制单个邮箱发送邮件的频次,并结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。

    批量下载

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计进行${attack_cnt}次数据导出或下载请求,批量获取了大量文件数据,可能存在数据泄漏风险。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,可以结合接口日常频率分布基线,配置访问频率限制策略,保障接口资源合理使用。

    遍历爬取接口数据

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,期间存在参数遍历行为,疑似在爬取接口数据。

    建议结合日志详情排查确认,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。此外,建议根据业务需求提高参数的随机性,避免使用短数字等格式简单、容易猜解的参数值。

    恶意攻击API接口

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计对接口发起${attack_cnt}次Web攻击行为,攻击均已被Web攻击防护模块拦截。

    建议结合日志详情分析IP行为,对于明确恶意的IP,可通过配置IP黑名单的方式拦截阻断。

    敏感数据泄漏

    未授权访问获取敏感数据

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问过程疑似未授权,且获取了${data_type}等类型的敏感数据总计超过${data_count}条,可能存在数据泄漏风险。

    建议结合日志详情排查确认。针对重要接口,应增加严格完善的身份验证机制,避免接口被未授权或越权利用。

    获取大量敏感数据

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,获取了${data_type}等类型的敏感数据总计超过${data_count}条,可能存在数据泄漏风险。

    建议结合日志详情排查确认。对重要敏感数据脱敏处理并删除不必要的数据类型。此外,可以结合接口日常频率分布基线,配置访问频率限制。

    境外IP获取大量敏感数据

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问IP来自境外,且获取了${data_type}等类型的敏感数据总计超过${data_count}条,可能存在数据泄漏及数据合规风险。

    建议结合日志详情排查确认。敏感数据跨境传输可能存在合规风险,若确实存在业务需求,建议评估后及时申报或备案。

    响应异常

    接口返回异常报错信息

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问过程中,接口疑似返回了异常报错信息,可能导致应用配置等重要信息泄漏。

    建议结合日志详情排查分析,确认接口运行是否正常。此外,应优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致应用信息泄漏。

    接口返回数据库报错信息

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问过程中,接口疑似返回了数据库报错信息,可能导致数据库语句及库表名称等重要信息泄漏。

    建议结合日志详情排查分析,确认接口运行是否正常。此外,应优化业务异常处理机制,在发生异常时统一返回指定内容或跳转至指定页面,避免直接返回异常信息导致数据库信息泄漏。

    接口返回系统敏感信息

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问过程中,接口疑似返回了重要的服务器敏感信息,存在数据泄漏风险。

    建议结合日志详情排查分析,确认返回数据是否符合预期,避免此类数据直接返回前端。

    接口响应状态异常

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问过程中异常响应占比超过80%,疑似源站服务存在异常

    建议结合日志详情排查分析,确认接口运行是否正常。

    自定义事件

    自定义事件1

    经API安全事件检测模型分析,${start_ts}${end_ts}期间,IP${ip}等总计调用接口${attack_cnt}次,访问行为命中自定义事件检测模型${custom_rule_name}

    显示用户在策略配置中输入的内容。

  • API安全如何帮助企业降低数据安全泄漏风险?

    API安全模块支持检测API漏洞,还原API异常事件,并提供详细的漏洞处理建议,以帮助企业降低数据泄漏风险。

    风险类型

    说明

    API漏洞

    是企业可能将内部接口(例如用于内部办公、开发测试、运营管理的接口)暴露在公网上,从而导致攻击者可以通过API获取敏感数据。

    API异常事件

    API在预定义的业务需求和访问场景下出现异常行为,即不符合正常基线的行为。

  • 出境数据申报和备案的标准是什么?(仅中国内地支持)

    根据《数据出境安全评估办法》,申报标准如下:

    评估类型

    评估结果

    自上年1月1日起累计向境外提供个人信息关联自然人数大于100000

    符合申报要求

    自上年1月1日起累计向境外提供个人敏感信息关联自然人数大于10000

    自上年1月1日起存在数据出境行为且累计流转个人信息关联自然人数大于1000000

    自上年1月1日起累计向境外提供个人信息关联自然人数小于100000

    未达到申报要求

    自上年1月1日起累计向境外提供个人敏感信息关联自然人数小于10000

    自上年1月1日起存在数据出境行为且累计流转个人信息关联自然人数小于1000000

上一篇: 场景防护 下一篇: 重保场景防护
阿里云首页 Web应用防火墙 相关技术圈