永安在线：2022年Q2 API安全研究报告（17页）.pdf

1、12目录前言.3一、API 风险概况.41、网络攻击持续高发，API 攻击量月均超 25 万.42、营销作弊仍是主要 API 攻击场景，数字藏品被攻击热度依旧高涨.43、恶意爬虫针对 API 进行破解和伪造，房源、招聘等信息成重点爬取对象.54、利用 API 非法窃取数据，数字政务成为重点攻击目标.6二、API 安全缺陷分析.71、未授权访问.82、允许弱密码.93、错误提示不合理.104、云服务配置错误.11三、API 风险案例分析.121、数字政务平台 API 风险案例.122、智慧停车平台 API 风险案例.133、API 接口验证码泄露风险案例.16四、结语.173前言随着互联网技术的

2、快速发展，API 作为连接服务和传输数据的核心通道，需求正大量增长，API 在企业的发展过程中也扮演着越来越重要的角色。然而，API 巨大价值的背后也同时隐藏着不可忽视的安全风险。根据永安在线2022 年 Q2 API 安全研究报告（下文简称报告）数据显示，2022 年 Q2 季度 API风险态势依旧严峻，针对 API 的攻击持续高发，被攻击的 API 数量月均超过 25 万，相比 Q1 明显增长；API 攻击波及到政务平台、智慧停车、数字藏品等多个行业。Gartner 曾预测，“到 2022 年，API 将成为网络攻击者利用最频繁的载体，而通过攻击 API 可以非授权使用企业的应用数据”。在

3、 Q2 季度，永安在线研究团队也监测到了一系列因 API 安全防护不到位而发生的数据泄露事件，如多地政务系统遭恶意攻击，攻击者对政务系统中有缺陷的 API 进行攻击，从而获取公民身份证、手机号、姓名、住址等个人隐私信息，永安在线追溯到此类攻击均出自于同一个黑产团伙；多个智慧停车平台因查询缴费 API 接口均存在安全缺陷而被攻击，攻击者大规模爬取停车信息以获取个人隐私行踪。面对越来越多的 API 攻击以及由此导致的数据泄露风险，企业除了已有的防御体系外，也需要针对性地构建 API 安全防护体系，其中风险情报是重要的组成部分，基于情报及早感知及时防御，从而保障企业及其用户的数据安全。永安在线长期致

4、力于业务反欺诈和 API 安全的研究，通过全网布控+风险感知技术快速捕获 API 风险，并由情报专家分析并提取 API 安全情报和风险态势，整合形成API 安全研究系列报告。该系列报告围绕每个季度 API 风险态势，全面解析 API 攻击趋势、主要攻击场景以及受攻击行业，并结合 API 风险案例给出相应的防御建议。希望借此报告，帮助企业在解决 API 安全难题中提供新视角、新思路和新方法，助力企业在数字化浪潮中健康、安全、稳定发展。该系列报告目前已发布一期：2022 年 Q1 API 安全研究报告4一、API 风险概况本章节基于永安在线 Karma 情报平台捕获到的针对 API 的自动化攻击工

5、具、攻击流量等数据进行分析，对 2022 年 Q2 的 API 安全风险概况进行客观的展示。1、网络攻击持续高发，API 攻击量月均超 25 万从 Karma 情报平台捕获到的数据来看，2022 年 Q2 遭受攻击的 API 数量月均超过了 25 万，相比 Q1 大幅增加，其中，5 月份的攻击数量更是达到了 29.4 万。2、营销作弊仍是主要 API 攻击场景，数字藏品被攻击热度依旧高涨永安在线情报研究人员根据捕获到的针对 API 自动化攻击的工具名称做热词统计，从图中可以看到：1）“邀请”“抢购”“注册”“捡漏”等围绕营销活动的作弊攻击工具数量最多的，意味着在 Q2 针对API 的攻击主要集

6、中在营销作弊场景；52）“数藏”“ibox”“元宇宙”等与数字藏品相关的工具仍占据不少，可见针对数字藏品的攻击热度依旧高涨。此类自动化攻击会带来大量的虚假用户，短期内似乎“促进”了用户增长，但这种虚假繁荣会严重阻碍企业甚至行业的健康发展，企业需要引起重视，及早发现及早治理。(注：感兴趣的读者可以阅读 Q1 报告中详细的案例分析。)3、恶意爬虫针对 API 进行破解和伪造，房源、招聘等信息成重点爬取对象恶意爬虫是企业核心数字资产被黑产或竞品窃取的主要方式之一。通过对 Q2 捕获的恶意爬虫攻击流量进行分析，我们发现除了传统的网页爬虫之外，还存在大量破解和伪造接口协议的 API 爬虫。其中，房地产、