API数据安全知多少【知识篇】
一、近年来安全态势
近年来,国内外已发生多起由于API 漏洞被恶意攻击或安全管理疏漏导致的数据安全事件,对相关企业和用户权益造成严重损害,逐渐引起各方关注。
分类 |
年份 |
公司 |
详情 |
---|---|---|---|
国外 |
2018/2019 |
|
国外安全人员发现超过2.67 亿条Facebook ID、电话号码和姓名等信息被储存在某公开数据库中。有研究显示,该数据库中的数据可能通过某未知API 接口抓取,并非来自用户公开的信息。 |
2019 |
|
Twitter 公司发现大量虚假账户非法调用提供电话号码搜索用户功能的API 接口。不法分子可利用这一接口获取用户信息,进而开展钓鱼攻击、电话诈骗等违法活动。Twitter于事件曝光后紧急修改该接口功能使相关查询无法返回具体的账户名称. |
|
国内 |
2020 |
新浪微博 |
媒体报道新浪微博因用户查询接口被恶意调用导致App 数据泄露。新浪微博方面称此次数据泄露可追溯至2018年末,有用户非法调用App 用户查询接口,通过批量上传手机通讯录匹配用户账号昵称,并结合其他渠道获取的信息进行出售。事件曝光后,新浪微博表示将采取升级接口安全策略等措施,做好用户个人信息保护工作。 |
2020 |
微信 |
腾讯微信团队在“微信开放社区”发布《关于收回小程序"用户实名信息授权"接口的相关说明》,称为进一步提升用户使用的安全体验,将于2020 年5 月31 日收回小程序“用户实名信息授权”接口,并停止了该接口的申请和接入。微信方要求无相关业务场景或需求的小程序停止使用该接口,并向仍有用户实名认证需求的小程序提供“实名信息校验接口”作为替代方案。 |
二、安全风险分析
网络爬虫通过API 爬取大量数据:不法分子通常采用假UA 头和假IP 隐藏身份,一但获取企业内部账户,可能利用网络爬虫获取该账号权限内的所有数据。如果存在水平越权和垂直越权等漏洞,在缺少有效的权限管理机制情况,不法分子可以通过掌握的参数特征构造请求参数进行遍历,导致数据被全量泄露。
API敏感数据未脱敏:如果未在后端对个人敏感信息等数据进行脱敏处理,且未加密传输,一旦流量被截获、破解,将对企业、公民个人权益造成严重影响。
三、安全建议
阶段 |
建议 |
具体描述 |
---|---|---|
事前 |
统一API 设计开发规范 |
健全API 设计、开发、测试等环节标准规范和管理制度,引导API 开发运维流程标准化,提高对API 安全的重视程度 |
API 上线、变更、下线环节实时监控 |
对API 部署情况进行全面排查,梳理统计API 类型、活跃接口数量、失活接口数量等资产现状
|
|
完善API 身份认证和授权管理机制 |
|
|
健全API 安全防护体系 |
部署API 网关统一接口管理等 |
|
加强API 安全保护宣传力度,提高员工安全意识 |
提高员工特别是API 开发运维人员的安全意识,进一步提高内部RD整体数据安全认识 |
|
事中 |
API 身份认证实时监控能力 |
重点监控高频登录尝试、空Referer、非浏览器UA 头登录等具有典型机器行为特征的操作,对异常登录、调用行为进行分析,发现恶意行为及时告警。 |
异常行为实时监测预警能力 |
重点监控短时间内大量获取敏感数据、访问频次异常、非工作时间获取敏感数据等异常调用、异常访问行为进行实时分析 |
|
加强数据分类分级管控能力 |
针对API 涉及的敏感数据按照统一策略进行后端脱敏处理,并结合数据加密、传输通道加密等方式保护API 数据传输安全。重点关注接口单次返回数据量过多、返回数据类型过多等情况。 |
|
API 数据流向监控能力 |
通过分析访问和被访问IP 的局域、地域或法域,实现对数据流向的实时监控,防范数据接收方非法出售或滥用个人信息风险,发现相关违法违规事件及时阻断API 接入应对境外IP 访问内网API 或者内部IP 访问境外API 的情况重点关注、及时预警。 |
|
事后 |
健全应急响应机制 |
制定API 安全事件应急响应预案并纳入企业现有应急管理体系,应急流程包括但不限于监测预警及报告、数据泄露事件处置、危机处理及信息披露等环节。 |
健全日志审计机制 |
对接口访问、数据调用等操作进行完整日志记录,并持续开展安全审计。 |
|
健全数据泄露溯源追责机制 |
制定API 相关安全事件溯源方案,发生安全事件后及时追踪数据泄露途径、类型、规模、原因,分析根本原因 |
API数据安全知多少【知识篇】相关推荐
- STM32开发必备知识篇:STM32的运行机制
时间飞逝,转眼间已经硕士毕业工作第四年了,嵌入式研发成长道路上曲折坎坷,所以这也是我今年撰写博客的初心,即分享技术积累和研发经验,目前主要分为STM32和FPGA两个专辑,都包括开发必备知识篇和实战项 ...
- Android camera(4)---Android Camera开发之基础知识篇
Android Camera开发之基础知识篇 转自:https://blog.csdn.net/feiduclear_up/article/details/51968975#jump5 概述 Andr ...
- 健康知识大全api 取得最新的知识列表
健康知识大全api,最新健康知识,通过当前最新的ID,取得最新的知识列表.通过该方法可以做到数据的不重复! 接口名称:健康知识大全api 接口平台:开源接口 接口地址:http://japi.juhe ...
- ArcGIS API for JavaScript之基础篇(二)
ArcGIS API for JavaScript之基础篇(二) 上一篇文章介绍了Map MapView SceneView的基本知识以及简单的demo.最近几天学习了WebMap WebScene ...
- 高通平台8953 Linux DTS(Device Tree Source)设备树详解之一(背景基础知识篇)
本系列导航: 高通平台8953 Linux DTS(Device Tree Source)设备树详解之一(背景基础知识篇) 高通平台8953 Linux DTS(Device Tree Source ...
- Elasticsearch顶尖高手系列:核心知识篇(一)
目录 1.第1-4节 第01节:课程介绍 第02节:什么是Elasticsearch 第03节:Elasticsearch的功能.适用场景以及特点介绍 第04节:Elasticsearch核心概念:N ...
- 工商管理学计算机应用基础题,计算机应用基础全国网考选择题库(计算机基础知识篇).pdf...
计算机应用基础全国网考选择题库(计算机基础知识篇).pdf 1 2010 年计算机应用基础全国网考选择题库(计算机基础知识篇) (注计算机应用基础题库已变更,原教材附带蓝色光盘内选择题库不全.) 1. ...
- SP 短信开发-基础知识篇
SP 短信开发-基础知识篇 很土的话题,但是最近帮朋友做这个东西,所以写点东西出来给初学者参考. 一.准备资料 SP开发资料网站上有很多,但是主要是以下几个文档: 1.MISC1.6 SP订购通知接口 ...
- 《C语言编程魔法书:基于C11标准》——第一篇 预备知识篇 第1章 C魔法概览1.1 例说编程语言...
本节书摘来自华章计算机<C语言编程魔法书:基于C11标准>一书中的第1章,第1.1节,作者: 陈轶 更多章节内容可以访问云栖社区"华章计算机"公众号查看. 第一篇 预备 ...
最新文章
- Bézier曲线 和 Bézier曲面 ( 贝塞尔曲线 和 贝塞尔曲面 )
- 多索引表 (2)基本概念
- android/IOS SDK怎么判断用户是否安装了微信/QQ
- STL——萃取机制(Traits)
- 如何关闭eslint检测代码格式报错
- 在运行时访问工件的Maven和SCM版本
- 计算机与信息专业综合试题,计算机与信息专业综合试题(有答案)适合事业单位考试...
- 【数据结构和算法笔记】二叉树和树/森林的相互转换
- rhino插件-创建犀牛软件皮肤-rhino皮肤-界面开发-犀牛插件
- java规则引擎Drools实战
- java设置cookie_java之Cookie详解
- 谷歌身份验证器(Google Authenticator)的使用详情
- java since,javadoc:@version和@since
- 初学者:html中的表单详解(下面附有代码)
- 135编辑器的html,百度编辑器 整合135编辑器
- 2016天津成考计算机试题,2016年天津事业单位考试《职业能力测验》(部分)试题及答案解析...
- Hibernate的搭建
- qt qml 界面程序 适配4K屏幕 简单方法
- ToDoList 案例完整 尚硅谷
- (一)性能测试(压力测试、负载测试)、
热门文章
- 浅谈最小生成树的算法思路(一)Prim算法
- 聊聊Java中的并发队列中 有界队列和无界队列的区别
- 【MySQL】MySQL忘记密码或修改密码的方法
- 安装及管理程序(yum搭建本地源,了解rmp命令,查询卸载软件包,编译安装的过程)
- java 邮件模板_Spring Boot 优雅地发送邮件
- metasploit终端命令大全 MSF
- hibernate连接mysql配置文件 分享
- discuz论坛 java,如何添加Discuz论坛的应用
- 男生报计算机专业前景,我是一名读文科的高三男生,将来想报计算机专业,请问可行吗?...
- c语言srand函数怎么用_C语言的main函数到底该怎么写