应用程序接口（API）数据安全研究报告（2020年）[57页].pdf

《应用程序接口（API）数据安全研究报告（2020年）[57页].pdf》由会员分享，可在线阅读，更多相关《应用程序接口（API）数据安全研究报告（2020年）[57页].pdf（57页珍藏版）》请在三个皮匠报告上搜索。

1、应用程序接口（应用程序接口（APIAPI） 数据安全数据安全研究报告研究报告 （20202020 年年） 中国信息通信研究院安全研究所中国信息通信研究院安全研究所 20202020 年年 7 7 月月 版权声明 本报告版权属于中国信息通信研究院安全研究所， 并受 法律保护。转载、摘编或利用其它方式使用本报告文字或者 观点的，应注明“来源：中国信息通信研究院安全研究所”。 违反上述声明者，本院将追究其相关法律责任。 本报告版权属于中国信息通信研究院安全研究所， 并受 法律保护。转载、摘编或利用其它方式使用本报告文字或者 观点的，应注明“来源：中国信息通信研究院安全研究所”。 违反上述声明者，本院

2、将追究其相关法律责任。 pOsNpPpQqPpNzRsNqMrOpM6MaO8OsQnNpNrReRpPrOeRtRzR6MrRyQNZrMtOwMnMpP 前言前言 伴随着云计算、大数据、人工智能等技术的蓬勃发展，移动互 联网、物联网产业加速创新，移动设备持有量不断增加，Web 应用、 移动应用已融入生产生活的各个领域。这一过程中，应用程序接口 （Application Programming Interface，API）作为数据传输流转 的重要通道发挥着举足轻重的作用。 API 技术不仅帮助企业建立与客 户沟通的桥梁，还承担着不同复杂系统环境、组织机构之间的数据 交互、传输的重任。然而，在

3、 API 技术带来上述积极作用的同时， 与其相关的数据安全问题也日益凸显。 近年来，国内外曝出多起与 API 相关的数据安全事件，严重损 害了相关企业、用户的合法权益。我国多个行业已出台相关规范性 文件，覆盖通信、金融、交通等诸多领域，对 API 安全提出了一定 要求，对其技术部署、安全管理等进行规范。然而当前已研制标准 主要针对特定 API 类型、应用场景提出要求，尚未全面覆盖 API 数 据安全，相关标准规范体系有待完善。 本报告围绕近年来 API 安全态势，分析梳理了 API 技术面临的 内、外部安全风险，针对事前、事中、事后不同阶段的安全需求差 异，从 API 安全管理、防护手段、风险

4、管控等多角度为企业实现高 效、灵活的 API 安全实践提出了针对性建议。 技术支持：技术支持： 全知科技（杭州）有限责任公司 联系人：联系人： 王丹辉中国信息通信研究院 电子邮件： 解伯延中国信息通信研究院 电子邮件： 朱通全知科技（杭州）有限责任公司 费嫒全知科技（杭州）有限责任公司 目录目录 一、 API 的基本情况.1 （一） API 简介.1 （二） API 分类及组成要素.2 1. API 分类.2 2. API 组成要素.3 （三） API 安全标准化情况.4 二、 近年来 API 安全态势.10 （一） Facebook 多起数据泄露事件与 API 有关.10 （二） 美国邮政服

5、务 API 漏洞导致用户信息泄露.11 （三） T-Mobile API 漏洞导致用户账号被窃取.11 （四） Twitter 虚假账户利用 API 批量匹配用户信息.12 （五） 考拉征信非法出售 API 导致个人信息泄露.12 （六） 新浪微博用户查询接口被恶意调用导致数据泄露.12 （七） 微信团队收回小程序用户实名信息授权接口.13 三、 安全风险分析.13 （一） 外部威胁因素.13 1. API 漏洞导致数据被非法获取.14 2. API 成为外部网络攻击的重要目标.14 3. 网络爬虫通过 API 爬取大量数据.14 4. 合作第三方非法留存接口数据.15 5. API 请求参数

6、易被非法篡改.15 （二） 内部脆弱性因素.16 1. 身份认证机制.16 2. 访问授权机制.17 3. 数据脱敏策略.17 4. 返回数据筛选机制.18 5. 异常行为监测.18 6. 特权账号管理.19 7. 第三方管理.19 四、 安全建议.20 （一） 事前.20 1. 统一 API 设计开发规范，减少安全隐患.20 2. 强化 API 上线、变更、下线环节实时监控，确保全生命周期安全 .20 3. 完善 API 身份认证和授权管理机制，强化接口接入安全审核.21 4. 健全 API 安全防护体系，提升抵御外部威胁能力.21 5. 加大 API 安全保护宣传力度，提高员工安全意识.2

7、2 （二） 事中.22 1. 加强 API 身份认证实时监控能力建设.22 2. 加强异常行为实时监测预警能力建设.22 3. 加强数据分类分级管控能力建设.23 4. 加强 API 数据流向监控能力建设.23 （三） 事后.24 1. 建立健全应急响应机制.24 2. 建立健全日志审计机制.24 3. 建立健全数据泄露溯源追责机制.25 五、 附录.26 （一） 全知科技 API 安全实践.26 1. 开放 API 安全实践.26 2. 面向合作方 API 安全实践.29 3. 内部 API 安全实践.31 （二） 观安 API 安全实践.34 1. 安全方案.34 2. 技术手段.35 3

8、. 实践应用.38 4. 发展趋势.40 （三） 爱加密 API 安全实践.41 1. 安全方案.41 2. 技术手段.43 3. 实践应用.44 4. 产品研发.47 表目录表目录 表 1相关国家标准例举.5 表 2相关通信行业标准例举.6 表 3相关金融行业标准例举.8 表 4相关交通行业标准例举.9 应用程序接口（API）数据安全研究报告（2020 年） 1 一、API 的基本情况 伴随着云计算、移动互联网、物联网的蓬勃发展，越来越多的 开发平台和第三方服务快速涌现，应用系统与功能模块复杂性不断 提升， 应用开发深度依赖于应用程序接口 （Application Programming I

9、nterface，API）之间的相互调用。近年来移动应用深入普及，促 使社会生产、生活活动从线下转移到了线上，特别在此次新冠肺炎 疫情期间，协同办公、在线教育、便民服务等领域移动应用积极助 力复工复产，各地依托大数据推出“健康码”等疫情防控新举措， API 在其中起到了紧密链接各个元素的作用。 为满足各领域移动应用 业务需要，API 的绝对数量持续增长，通过 API 传递的数据量也飞速 增长。 API 技术借助移动应用蓬勃发展的势头融入社会经济的方方面 面，不仅为数据交互提供了便利，并且推动了企业、组织机构间的 沟通和对话，甚至创造了新的经济模式：API 经济。 （一）API 简介（一）API

10、 简介 API 是预先定义的函数， 为程序之间数据交互和功能触发提供服 务。调用者只需调用 API，并输入预先约定的参数，即可实现开发者 封装好的各种功能，无需访问功能源码或理解功能的具体实现机制。 从功能角度来看，API 是前端调用后端数据的通道；从业务角度 来看， API 是将封装后的应用对外开放的访问接口。 在信息系统内部， 随着业务功能的逐渐细化，各个功能模块之间需要利用 API 技术来 进行协调；在信息系统外部，API 承担着与其他应用程序进行交互的 应用程序接口（API）数据安全蓝皮报告（2020 年） 2 重要任务。 （二）API 分类及组成要素（二）API 分类及组成要素 1.

11、API 分类 API 技术应用广泛，可满足不同领域、不同业务的数据传输和操 作需求，在包括软件开发工具包（Software Development Kit，SDK） 、 Web 应用、网关等诸多领域均可发现 API 的身影。因此，从应用领域 角度难以合理清晰地区分其种类。为此，本报告从 API 开放程度和 API 核心技术两个维度进行分类介绍。 （1）按 API 开放程度分类 从 API 的开放程度出发， API 可以分为开放 API、 面向合作方 API 和内部 API。 开放 API 是面向公网开放的接口，此类 API 允许公众调用。调 用者可以是任何人或者机构，不需要和 API 提供者建

12、立合作关系， 例如公司门户网站等。 面向合作方 API 指的是企业或组织用来与外部合作伙伴进行沟 通、交流和系统集成的 API，例如面向外包机构、设备供应商等。 内部 API 仅在企业或组织内部使用，用来协调内部不同系统、 应用之间的调用关系，例如 CRM 系统 API、薪资系统 API 等。 （2）按 API 核心技术分类 从 API 核心技术进行划分，可分为简单对象访问协议（Simple 应用程序接口（API）数据安全蓝皮报告（2020 年） 3 Object Access Protocol，SOAP）API，RESTful（Representational State Transfer，

13、 REST） API 及远程过程调录 （Remote Procedure Call， RPC）API。 SOAP API 是指使用 Web 服务安全性内置协议的 API。基于 XML 协议，此类 API 技术可与多种互联网协议和格式结合使用，包括超 文本传输协议（HTTP）、简单邮件传输协议（SMTP）、多用途网际 邮件扩充协议（MIME）等。 RPC API 是指使用远程过程调录协议进行编程的 API，RPC 技术 允许计算机调用其他计算机的子系统，并定义了结构化的请求方式。 不同于上述两类依托于协议的 API 技术，RESTful API 是一种架 构，其通过 HTTP 和 JSON 进行

14、传输，不需要存储或重新打包数据， 同时支持 TLS 加密。 2.API 组成要素 API 通常包含如下组成要素，在这些要素的共同作用下，API 才 能发挥预期作用。 （1）通信协议：API 一般利用 HTTPS 等加密通讯协议进行数据 传输，以确保数据交互安全。 （2）域名：用于指向 API 在网络中的位置。API 通常被部署在 主域名或者专用域名之下，接入方可通过域名调用相关 API。 （3）版本号：不同版本的 API 可能存在巨大差异，尤其对于多 版本并存、增量发布等情况，API 版本号有助于准确区分 API 的参数 应用程序接口（API）数据安全蓝皮报告（2020 年） 4 设置。 （4

15、）路径：路径又称“终点”（end point），指表示 API 及 API 执行功能所需资源的具体地址。 （5）请求方式： API 常用的请求方式有 GET、 POST、 PUT 和 DELETE 四种，分别用于获取、更新、新建、删除指定资源。 （6）请求参数：即传入参数，包含数据格式、数据类型、可否 为空以及文字描述等内容。传入参数主要包括 Cookie、Request header、请求 body 数据和地址栏参数等。 （7）响应参数：即返回参数或传出参数，返回参数本身默认没 有值，用于带出请求参数要求 API 后台所返回的数据。 （8）接口文档：接口文档是记录 API 相关信息的文档，内

16、容包 括接口地址、请求方式、传入参数（请求参数）和响应参数等。 （三）API 安全标准化情况（三）API 安全标准化情况 近年来，我国陆续出台多部数据接口有关标准，对数据接口在 不同领域的应用、部署、管理、防护等进行了规范。 在国家标准层面，我国多部现行及制定中的国家标准针对 API 安全提出了安全要求。GB/T 35273-2020信息安全技术 个人信息 安全规范将 API 开发、调用与个人信息安全相结合，明确指出“个 人信息控制者在提供产品或服务的过程中部署了收集个人信息的第 三方插件（例如网站经营者与在其网页或应用程序中部署统计分析 工具、软件开发工具包 SDK、调用地图 API 接口）

17、，且该第三方并未 应用程序接口（API）数据安全蓝皮报告（2020 年） 5 单独向个人信息主体征得收集、使用个人信息的授权同意，则个人 信息控制者与该第三方为共同个人信息控制者。”制定中的国家标 准 GB/ XXXX-XX信息安全技术 政务信息共享 数据安全技术要求 要求共享交换过程中涉及的授权方（共享数据提供方、共享交换服 务方）“支持资源文件、库表、接口等各共享方式上不同粒度的权 限控制”，并在级联接口安全方面要求“共享交换服务方应采用密 码技术对共享交换系统间的级联接口进行安全防护，保障通过级联 接口传递的数据的保密性和完整性。” 表 1 相关国家标准例举 序号序号标准编号标准编号标准

18、名称标准名称 1GB/T 35273-2020信息安全技术 个人信息安全规范 2 GB/T 36478.4-2019 物联网 信息交换和共享 第 4 部 分：数据接口 3 GB/T 21062.3-2007 政务信息资源交换体系 第 3 部分： 数据接口规范 4GB/T 19581-2004信息技术 会计核算软件数据接口 5 GB/ XXXX-XX信息安全技术 政务信息共享 数据 安全技术要求（征求意见稿） 来源：中国信息通信研究院 在通信行业标准方面，随着云计算、移动互联网等领域的快速 发展，通信行业针对特定 API 类型、API 应用场景等制定了一系列标 准，细化了 API 相关安全要求与

19、规范。其中 YD/T 2807.4-2015云 应用程序接口（API）数据安全蓝皮报告（2020 年） 6 资源管理技术要求 第 4 部分： 接口 对涉及的接口类型进行了梳理， 规定了云资源管理平台及分平台间接口的技术要求。YD/T 3217-201 7基于表述性状态转移（REST）技术的业务能力开放应用程序接口 （API）视频共享则针对基于 REST 技术的视频共享能力开放 API 进行了规范，涵盖了接口资源定义、资源操作、数据结构、基本流 程和安全要求等多方面内容。 表 2 相关通信行业标准例举 序号序号标准编号标准编号标准名称标准名称 1 YD/T 3420.8-2019 基于公用电信网

20、的宽带客户网关虚拟 化 第 8 部分:接口要求 2YD/T 3496-2019Web 安全日志格式及共享接口规范 3 YD/T 3242-2017生物灾害防治和预警系统 信息发布 网络接口技术要求 4 YD/T 3217-2017基于表述性状态转移（REST）技术的 业务能力开放应用程序接口（API）视频 共享 5 YD/T 2406-2017互联网数据中心和互联网接入服务信 息安全管理系统及接口测试方法 6 YD/T 3215-2017互联网资源协作服务信息安全管理系 统及接口测试方法 7 YD/T 3214-2017互联网资源协作服务信息安全管理系 统接口规范 应用程序接口（API）数据安

21、全蓝皮报告（2020 年） 7 8 YD/T 3213-2017内容分发网络服务信息安全管理系统 及接口测试方法 9 YD/T 3212-2017内容分发网络服务信息安全管理系统 接口规范 10 YD/T 3189-2016基于表述性状态转移（REST）技术的 业务能力开放应用程序接口（API）状态 呈现业务 11YD/T 2807.4-2015 云资源管理技术要求 第4部分： 接口 12 YD/T 2464-2013基于表述性状态转移（REST）技术的 业务能力开放应用程序接口（API）搜索 业务 13 YD/T 1661-2007基于互联网服务（Web Service）的开 放业务接入应用

22、程序接口（Parlay X） 技术要求 14 YD/T 1262-2003开放业务接入应用程序接口（PARLAY API）技术要求 来源：中国信息通信研究院 在金融行业标准方面，已发布多部标准对 API 技术的部署、管 理进行规范。其中 JR/T 0171-2020个人金融信息保护技术规范 要求金融机构嵌入或接入 API 时，应符合相应技术规范要求，进行 检查、评估和审计。JR/T 01852020商业银行应用程序接口安全 管理规范则对 API 技术提出了包括数据完整性保护、授权管理、 应用程序接口（API）数据安全蓝皮报告（2020 年） 8 使用情况监控、接口访问日志留存、安全密钥管理、网

23、络安全防护 措施部署、接口安全监测、接口调用控制、接口变更处理、应急处 理方案、安全审计溯源等一系列安全要求。 表 3 相关金融行业标准例举 序号序号标准编号标准编号标准名称标准名称 1 JR/T 0185-2020商业银行应用程序接口安全管理规 范 2JR/T 0171-2020个人金融信息保护技术规范 3JR/T 0160-2018期货市场客户开户数据接口 4 JR/T 0155.1-2018 证券期货业场外市场交易系统接口 第 1 部分：行情接口 5 JR/T 0155.2-2018 证券期货业场外市场交易系统接口 第 2 部分：订单接口 6 JR/T 0155.3-2018 证券期货业

24、场外市场交易系统接口 第 3 部分：结算接口 7JR/T 0151-2016期货公司柜台系统数据接口规范 8 JR/T 0109.2-2015 智能电视支付应用规范 第 2 部分： 报 文接口规范 9 JR/T 0109.4-2015 智能电视支付应用规范 第 4 部分： 通 信接口规范 10JR/T 0078-2014银行间市场数据接口 应用程序接口（API）数据安全蓝皮报告（2020 年） 9 11 JR/T 0096.1-2012 中国金融移动支付 联网联合 第 1 部 分：通信接口规范 12 JR/T 0087-2012股指期货业务基金与期货数据交换接 口 13 JR/T 0055.5

25、-2009 银行卡联网联合技术规范 第 5 部分： 通信接口 14 JR/T 0024-2004国际收支统计间接申报银行接口规范 通用要素 来源：中国信息通信研究院 在交通行业标准方面，也相继出台了包括 JT/T 1183-2018出 租汽车 ETC 支付接口规范、JT/T 1049-2017道路运政管理信息 系统在内的多部 API 相关标准和规范性文件。 表 4 相关交通行业标准例举 编号编号标准编号标准编号标准名称标准名称 1JT/T 1183-2018出租汽车 ETC 支付接口规范 2JT/T 1049-2017道路运政管理信息系统 3 JT/T 1049.5-2017 道路运政管理信息

26、系统第 5 部分：省 级业务系统接口 4 JT/T 1019.3-2016 12328 交通运输服务监督电话系统 第 3 部分：数据交换与信息共享接口技术 要求 5JT/T 1049.2-2016 道路运政管理信息系统第 2 部分:数 应用程序接口（API）数据安全蓝皮报告（2020 年） 10 据资源采集接口 6 JT/T 1049.3-2016 道路运政管理信息系统第 3 部分:数 据资源目录服务接口 7 JT/T 979.1-2015道路客运联网售票系统 第 1 部分： 服 务接口规范 8 JT/T 785-2010道路运输管理与服务系统数据交换接 口 来源：中国信息通信研究院 二、近年

27、来 API 安全态势 API 在互联网时代向大数据时代快速过渡的浪潮中承担着连接 服务和传输数据的重任，在通信、金融、交通等诸多领域得到广泛 应用。API 技术已经渗透到了各个行业，涉及包含敏感信息、重要数 据在内的数据传输、操作，乃至各种业务策略的制定环节。伴随着 API 的广泛应用， 传输交互数据量飞速增长， 数据敏感程度不一， API 安全管理面临巨大压力。 近年来，国内外已发生多起由于 API 漏洞被恶意攻击或安全管 理疏漏导致的数据安全事件，对相关企业和用户权益造成严重损害， 逐渐引起各方关注。为此，部分企业已经积极采取改进 API 安全策 略、出台替代方案等防护措施，应对日益严峻的

28、安全形势。 （一）Facebook 多起数据泄露事件与 API 有关（一）Facebook 多起数据泄露事件与 API 有关 2018 年 9 月， 黑客利用 Facebook 某 API 安全漏洞获取数百万用 应用程序接口（API）数据安全蓝皮报告（2020 年） 11 户信息。Facebook 提供“View As”功能允许开发者以用户身份查看 页面，由于相关 API 存在安全漏洞，造成大量用户访问口令（Access Token）泄露，并导致大量用户个人信息被不法分子窃取，近 5000 万用户受到影响。 2018 年 12 月，Facebook 再次曝出 API 漏洞导致用户个人信息 泄露

29、事件，影响近 680 万用户及 1500 个使用该 API 的 App。该漏洞 允许第三方 App 访问用户 Facebook 账户内未公开的照片，App 还可 能利用该漏洞在用户访问中断或退出程序后获取用户设备缓存中的 数据。 2019 年 12 月，国外安全人员发现超过 2.67 亿条 Facebook ID、 电话号码和姓名等信息被储存在某公开数据库中。有研究显示，该 数据库中的数据可能通过某未知 API 接口抓取，并非来自用户公开 信息。Facebook 称将对这一事件展开调查。 （二）美国邮政服务 API 漏洞导致用户信息泄露（二）美国邮政服务 API 漏洞导致用户信息泄露 2018

30、 年，国外研究人员发现美国邮政服务（USPS）API 漏洞可 能导致超过 6000 万用户个人信息被窃取。出现漏洞的“Informed Visibility”接口旨在为 USPS 旗下运输业务提供实时跟踪数据，但 由于未设置如限速限流在内的防护措施，使得这一 API 接口遭到不 法分子滥用。 （三）T-Mobile API 漏洞导致用户账号被窃取（三）T-Mobile API 漏洞导致用户账号被窃取 2019 年 11 月，美国电信运营商 T-Mobile 曝出 Web 应用程序界 应用程序接口（API）数据安全蓝皮报告（2020 年） 12 面漏洞。不法分子通过该漏洞窃取了 T-Mobile

31、 用户电子邮箱地址、 设备识别信息、安全问题答案等信息，进而利用非法获取的信息冒 充客户挂失手机 SIM 卡，接管受害者电话服务，并通过该手机号码 绑定的双重认证、 账户恢复等功能非法访问或窃取用户账号。 约 1500 万 T-Mobile 用户受到影响。 （四）Twitter 虚假账户利用 API 批量匹配用户信息（四）Twitter 虚假账户利用 API 批量匹配用户信息 2019 年 12 月 24 日，Twitter 公司发现大量虚假账户非法调用 提供电话号码搜索用户功能的 API 接口。不法分子可利用这一接口 获取用户信息，进而开展钓鱼攻击、电话诈骗等违法活动。Twitter 于事件

32、曝光后紧急修改该接口功能使相关查询无法返回具体的账户 名称。 （五）考拉征信非法出售 API 导致个人信息泄露（五）考拉征信非法出售 API 导致个人信息泄露 2019 年 11 月， 拉卡拉支付旗下的考拉征信因非法缓存公民个人 信息、出售查询 API 遭警方调查。警方表示，经查考拉征信从上游 公司获取接口后又违规将查询接口卖出，并利用查询接口非法缓存 公民姓名、身份证号码和身份证照片等个人身份信息一亿多条，供 下游公司查询牟利，从而造成公民身份信息包括身份证照片的大量 泄露。案件发生后，警方已将考拉征信涉案人员抓获。 （六）新浪微博用户查询接口被恶意调用导致数据泄 露 （六）新浪微博用户查询

33、接口被恶意调用导致数据泄 露 应用程序接口（API）数据安全蓝皮报告（2020 年） 13 2020 年 3 月 19 日， 媒体报道新浪微博因用户查询接口被恶意调 用导致 App 数据泄露。新浪微博方面称此次数据泄露可追溯至 2018 年末，有用户非法调用 App 用户查询接口，通过批量上传手机通讯 录匹配用户账号昵称，并结合其他渠道获取的信息进行出售。事件 曝光后，新浪微博表示将采取升级接口安全策略等措施，做好用户 个人信息保护工作。 （七）微信团队收回小程序用户实名信息授权接口（七）微信团队收回小程序用户实名信息授权接口 2020 年 3 月 31 日，腾讯微信团队在“微信开放社区”发布

34、关 于收回小程序用户实名信息授权接口的相关说明，称为进一步 提升用户使用的安全体验，将于 2020 年 5 月 31 日收回小程序“用 户实名信息授权”接口，并停止了该接口的申请和接入。微信方要 求无相关业务场景或需求的小程序停止使用该接口，并向仍有用户 实名认证需求的小程序提供“实名信息校验接口”作为替代方案。 三、安全风险分析 （一）外部威胁因素（一）外部威胁因素 从近年API安全态势可以看出， API技术被应用于各种复杂环境， 其背后的数据一方面为企业带来商机与便利，另一方面也为数据安 全保障工作带来巨大压力。特别在开放场景下，API 的应用、部署面 向个人、企业、组织机构等不同用户主体

35、，面临着外部用户群体庞 大、性质复杂、需求不一等诸多挑战，需时刻警惕外部安全威胁。 应用程序接口（API）数据安全蓝皮报告（2020 年） 14 1.API 漏洞导致数据被非法获取 在 API 的开发、部署过程中不可避免产生安全漏洞，这些漏洞 通常存在于通信协议、请求方式、请求参数和响应参数等环节。不 法分子可能利用 API 漏洞（如缺少身份认证、水平越权漏洞、垂直 越权漏洞等）窃取用户信息、企业核心数据。例如在开发过程中使 用非 POST 请求方式、Cookie 传输密码等操作登录接口，存在 API 鉴 权信息暴露风险，可能使得 API 数据被非法调用或导致数据泄露。 2.API 成为外部网络攻击的重要目标 API 是信息系统与外部交互的主要渠道，