在攻防實戰(zhàn)和演練過程中，針對目標(biāo)對象的滲透過程可以概括為目標(biāo)偵查、暴露面發(fā)現(xiàn)、滲透利用、橫向滲透幾個步驟。攻擊方會通過各種渠道對目標(biāo)對象的全量資產(chǎn)進行收集，嘗試從中找到防護的薄弱點，進而展開攻擊行動。

但是，隨著大家網(wǎng)絡(luò)安全意識的提升和各類攻防演練的深入開展，促使業(yè)務(wù)系統(tǒng)的安全加固工作持續(xù)升級，資產(chǎn)暴露面不斷收斂；與此同時，新業(yè)務(wù)系統(tǒng)上線前也會開展專門的安全滲透工作來降低被攻擊的風(fēng)險，這導(dǎo)致通過直接滲透的方式突破系統(tǒng)防線的成功率越來越低。

除了偶爾“撿漏”外，攻擊方已經(jīng)基本放棄“死磕”目標(biāo)系統(tǒng)，而是通過其他“迂回”的戰(zhàn)術(shù)和途徑來尋找攻擊突破口，比如社會工程學(xué)中的敏感信息收集、郵件釣魚、小程序、APP、供應(yīng)鏈滲透等。通過API進行滲透就是當(dāng)下攻防對抗中頗受攻擊方青睞的一種方式，同時也是防守方需要格外留意和加緊防范的問題。

究竟什么是API

常規(guī)定義下，API是應(yīng)用程序接口（Application Programming Interface）的簡稱，其含義比較寬泛，泛指一組定義、程序及協(xié)議的集合。隨著技術(shù)領(lǐng)域的細分和前后端分離架構(gòu)模式的推廣，App應(yīng)用、小程序、微服務(wù)、云原生等場景的不斷演進和普及，API的應(yīng)用也越來越廣泛。

攻擊者為什么偏好通過API進行滲透

傳統(tǒng)的資產(chǎn)管理和安全防護過程中，由于資產(chǎn)是相對明確的IP、端口等，做安全策略時都有相對成熟的經(jīng)驗。而API作為落到URL級的新型資產(chǎn)，如果還是沿用以前的經(jīng)驗，就存在一定困難和挑戰(zhàn)，也往往會導(dǎo)致無法采取相應(yīng)的監(jiān)控和防護手段，缺乏API資產(chǎn)的統(tǒng)一管理。這也是通過API進行滲透入侵被發(fā)現(xiàn)的概率通常較低的原因之一。

在業(yè)務(wù)平臺建設(shè)和升級的同時，API接口版本也在不斷升級，但由于考慮系統(tǒng)兼容的需要，許多老舊的API接口仍然活躍在系統(tǒng)中。而這些老舊接口往往存在脆弱性和安全風(fēng)險，在缺失監(jiān)控管理的情況下，就很容易被突破，進而造成數(shù)據(jù)或關(guān)鍵權(quán)限丟失，從而引發(fā)一點突破、全盤皆輸?shù)木置妗?/section>

此外，API本身就承擔(dān)著提供數(shù)據(jù)交互的工作，從API上獲取敏感信息再進一步滲透是一種常見的社工方式。

API面臨的主要安全威脅

API安全受到當(dāng)下攻防雙方越來越多的關(guān)注，除了基于SQL注入、XSS、命令注入等傳統(tǒng)攻擊方式外，基于權(quán)限和行為的API濫用、盜用、權(quán)限繞過等手段也成為攻擊者的常見操作?？偨Y(jié)來說，目前API面臨的安全威脅主要分為以下幾類：

◆ 常規(guī)Web應(yīng)用攻擊，如SQL注入、XSS、命令注入等，通過攻擊獲取系統(tǒng)權(quán)限；

◆ 數(shù)據(jù)竊取，通過編寫爬蟲等方式高頻次數(shù)據(jù)查詢，竊取API接口的數(shù)據(jù)；

◆ 權(quán)限盜用，如通過系統(tǒng)本身邏輯缺陷、代理、劫持等手段獲取調(diào)用權(quán)限，從而非法獲取數(shù)據(jù)信息；

◆ API接口自身的邏輯缺陷導(dǎo)致的安全威脅，如薅羊毛等行為大多是由于API的邏輯控制不足所導(dǎo)致；

◆ 針對API接口的類DDoS行為，如口令爆破、DDoS攻擊等；

◆ 敏感信息泄漏，數(shù)據(jù)傳輸過程中未對敏感信息進行處置，例如公民身份證號、電話、聯(lián)系地址等信息。

針對API安全治理的幾點建議

盛邦安全網(wǎng)絡(luò)資產(chǎn)安全治理體系中的幾個關(guān)鍵路徑為：摸清家底、備案審核、立體化防御、自動化運營和應(yīng)急響應(yīng)。針對API的資產(chǎn)也不例外，同樣可以遵循類似的步驟：

一、獲取現(xiàn)有的全量API資產(chǎn)信息。此階段通常以自動化學(xué)習(xí)與人工確認相結(jié)合的方式進行；

二、針對API資產(chǎn)做統(tǒng)一梳理。特別需要針對僵尸API和老舊API資產(chǎn)，制定相應(yīng)的全生命周期管理策略，避免其帶來的安全隱患；

三、為API資產(chǎn)定制專項防護策略。除傳統(tǒng)的SQL注入、XSS、命令注入等方式外，需要結(jié)合業(yè)務(wù)特征來定制策略，例如針對API濫用和盜用行為，需要結(jié)合實際API的調(diào)用情況進行細顆粒度的配置；

盛邦安全API安全防護解決方案

盛邦安全API安全防護解決方案，通過被動流量分析，對業(yè)務(wù)流量進行采集、建模和數(shù)據(jù)分析，全面識別未知API、臨時API、歷史遺留API等“暗資產(chǎn)”并結(jié)合API資產(chǎn)導(dǎo)入，形成完整的API臺賬；通過對API的調(diào)用頻率、趨勢、請求次數(shù)等維度進行資產(chǎn)畫像，形成API行為基線；利用盛邦安全語義引擎、機器學(xué)習(xí)引擎、規(guī)則檢測引擎等核心技術(shù)，結(jié)合API盜用、濫用、數(shù)據(jù)脫敏、弱口令等防護策略，對API資產(chǎn)進行全方位的防護；在出現(xiàn)異常情況時，可以提供應(yīng)急響應(yīng)策略進行快速處置，構(gòu)建完整的API資產(chǎn)全生命周期安全防護閉環(huán)管理體系。

◆ 常規(guī)Web應(yīng)用攻擊，如SQL注入、XSS、命令注入等，通過攻擊獲取系統(tǒng)權(quán)限；

◆ 數(shù)據(jù)竊取，通過編寫爬蟲等方式高頻次數(shù)據(jù)查詢，竊取API接口的數(shù)據(jù)；

◆ 權(quán)限盜用，如通過系統(tǒng)本身邏輯缺陷、代理、劫持等手段獲取調(diào)用權(quán)限，從而非法獲取數(shù)據(jù)信息；

◆ 針對API接口的類DDoS行為，如口令爆破、DDoS攻擊等；

◆ 敏感信息泄漏，數(shù)據(jù)傳輸過程中未對敏感信息進行處置，例如公民身份證號、電話、聯(lián)系地址等信息。

項目咨詢

◆ 常規(guī)Web應(yīng)用攻擊，如SQL注入、XSS、命令注入等，通過攻擊獲取系統(tǒng)權(quán)限；

◆ 數(shù)據(jù)竊取，通過編寫爬蟲等方式高頻次數(shù)據(jù)查詢，竊取API接口的數(shù)據(jù)；

◆ 權(quán)限盜用，如通過系統(tǒng)本身邏輯缺陷、代理、劫持等手段獲取調(diào)用權(quán)限，從而非法獲取數(shù)據(jù)信息；

◆ 針對API接口的類DDoS行為，如口令爆破、DDoS攻擊等；

◆ 敏感信息泄漏，數(shù)據(jù)傳輸過程中未對敏感信息進行處置，例如公民身份證號、電話、聯(lián)系地址等信息。