1、12目录Contents前言.3一、2022 年 API 安全风险概况.5二、2022 年 API 安全缺陷分析.10三、2022 年 API 攻击方式分析.19四、2022 年值得关注的 API 攻击案例.271、线上政务平台的 API 攻击案例.272、金融行业的数据泄露案例.293、互联网社交平台的 API 攻击案例.314、智慧停车平台的数据泄漏案例.33五、安全建议.373前言近年来，数字化浪潮与疫情交织，企业业务线上化被按下了“快进键”。数字化与线上化趋势下，API 接口作为应用连接、数据传输的重要通道，呈现大规模增长趋势，API 应用的增速与其安全发展的不平衡，使其成为恶意攻击的

2、首选目标，围绕 API 安全的攻防较量愈演愈烈。威胁猎人长期致力于 API 安全的研究，重点关注全网针对 API 攻击的各类黑灰产情报。2022 年 API 安全研究报告显示，API 安全已然成为了当下企业面临的最严峻网络安全挑战之一：1、2022 年平均每月遭受攻击的 API 数量超 21 万，其中“营销作弊”场景在 API 攻击的主要场景中占比最大，金融和政务平台成为黑产攻击 API 并窃取数据的重要目标；2、2022 年，互联网、政务、金融等各行业发生了多起因 API 安全防护不当引起的 API 攻击及数据泄漏事件：如线上政务平台的业务 API 遭黑产攻击，公民隐私数据被爬取；社交平台面

3、临大量扫号、撞库等攻击，大量用户账号被黑产贩卖并用于色情、赌博、诈骗等引流推广。威胁猎人2022 年 API 安全研究报告基于 Karma 情报平台捕获的 API 攻击风险，对过去一年的 API 安全现状和攻击趋势进行了分析，梳理了 2022 年较为常见的 API 安全缺陷、API 攻击方式，并结合 API 安全案例给出相应的防御建议。401API 安全风险概况015一、2022 年 API 安全风险概况1、2022 年平均每月遭受攻击的 API 数量超 21 万从威胁猎人 Karma 情报平台捕获到的攻击流量来看，2022 年全年平均每月遭受攻击的 API数量超过 21 万，第二季度（4-6

4、 月）遭受攻击的 API 数量达到高峰，月均攻击数量超过27 万。图：2022 年 1-12 月遭受攻击的 API 数量2、API 攻击主要集中在四大场景，营销作弊场景占比最大从 API 遭受攻击的场景来看，主要集中在营销作弊、账号风险、数据窃取和流量欺诈四大场景，其中，营销作弊场景攻击量近乎占总攻击量的一半。此外，虚假账号、账号盗取等一系列账号风险问题占比高达 20%，成为第二大常见 API 攻击场景。6图：API 攻击的常见场景占比3、API 攻击遍布各行各业，金融和政务平台是黑产攻击 API 并窃取数据的重要目标图：2022 年 API 攻击的主要行业7从 2022 年 API 攻击的行

5、业分布数据来看，热度最高的是数字藏品行业，2022 年初开始，黑产针对数字藏品活动接口的攻击快速激增，并在 2022 年 Q2 达到高峰。值得关注的是，威胁猎人情报研究团队通过分析 2022 年 API 攻击流量，发现有多个金融和政务平台遭受大规模攻击，黑产通过金融或政务平台有安全缺陷的 API 非法爬取大量涉及公民隐私、金融业务办理等敏感数据。黑产通过贩卖金融行业的用户数据可以获取高额利益，包括但不限于出售给中介“精准”揽客、出售给犯罪分子实施诈骗等；政务平台的 API 接口则承载了海量公民隐私数据，如身份证、住址、医保社保等敏感信息，也是黑产疯狂攻击的对象。此外，游戏、社交、电商、制造等行

6、业的 API 接口也遭到黑产的大规模攻击，具体如下所示：游戏：游戏行业 API 接口被攻击的主要场景是账号风险问题。黑产长期对注册、登录、找回密码等接口，发起扫号、撞库和暴破攻击，盗取玩家账号和虚拟资产。其中针对某些热门游戏的全网攻击规模达到数亿次。社交：社交平台 API 接口被攻击的主要场景是流量欺诈问题。黑产通过攻击平台的业务接口，制造虚假阅读量、点赞量、评论等。网络水军可借此控制舆情，引流团伙则借此给赌博、诈骗等网络犯罪行为引流。8电商：电商平台面临着营销作弊以及商家刷单、黄牛抢购等流量欺诈问题。尤其每年的双11，双 22 等电商节日，以及疫情期间口罩、抗原等热门商品的抢购时段，各家平台