|
应用程序接口(API)数据安全研究报告(2020年)
目录
一、API 的基本情况.................................................................................................. 1
(一) API 简介............................................................................................... 1
(二) API 分类及组成要素........................................................................... 2
1. API 分类.............................................................................................2
2. API 组成要素.....................................................................................3
(三) API 安全标准化情况........................................................................... 4
二、近年来API 安全态势....................................................................................... 10
(一) Facebook 多起数据泄露事件与API 有关....................................... 10
(二) 美国邮政服务API 漏洞导致用户信息泄露.................................... 11
(三) T-Mobile API 漏洞导致用户账号被窃取....................................... 11
(四) Twitter 虚假账户利用API 批量匹配用户信息............................. 12
(五) 考拉征信非法出售API 导致个人信息泄露.................................... 12
(六) 新浪微博用户查询接口被恶意调用导致数据泄露........................ 12
(七) 微信团队收回小程序"用户实名信息授权"接口............................ 13
三、安全风险分析................................................................................................... 13
(一) 外部威胁因素.................................................................................... 13
1. API 漏洞导致数据被非法获取.......................................................14
2. API 成为外部网络攻击的重要目标...............................................14
3. 网络爬虫通过API 爬取大量数据..................................................14
4. 合作第三方非法留存接口数据......................................................15
5. API 请求参数易被非法篡改...........................................................15
(二) 内部脆弱性因素................................................................................ 16
1. 身份认证机制..................................................................................16
2. 访问授权机制..................................................................................17
3. 数据脱敏策略..................................................................................17
4. 返回数据筛选机制..........................................................................18
5. 异常行为监测..................................................................................18
6. 特权账号管理..................................................................................19
7. 第三方管理......................................................................................19
四、安全建议........................................................................................................... 20
(一) 事前.................................................................................................... 20
1. 统一API 设计开发规范,减少安全隐患......................................20
2. 强化API 上线、变更、下线环节实时监控,确保全生命周期安全
................................................................................................................20
3. 完善API 身份认证和授权管理机制,强化接口接入安全审核..21
4. 健全API 安全防护体系,提升抵御外部威胁能力......................21
5. 加大API 安全保护宣传力度,提高员工安全意识......................22
(二) 事中.................................................................................................... 22
1. 加强API 身份认证实时监控能力建设..........................................22
2. 加强异常行为实时监测预警能力建设..........................................22
3. 加强数据分类分级管控能力建设..................................................23
4. 加强API 数据流向监控能力建设..................................................23
(三) 事后.................................................................................................... 24
1. 建立健全应急响应机制..................................................................24
2. 建立健全日志审计机制..................................................................24
3. 建立健全数据泄露溯源追责机制..................................................25
五、附录................................................................................................................... 26
(一) 全知科技API 安全实践.................................................................... 26
1. 开放API 安全实践..........................................................................26
2. 面向合作方API 安全实践..............................................................29
3. 内部API 安全实践..........................................................................31
(二) 观安API 安全实践............................................................................ 34
1. 安全方案..........................................................................................34
2. 技术手段..........................................................................................35
3. 实践应用..........................................................................................38
4. 发展趋势..........................................................................................40
(三) 爱加密API 安全实践........................................................................ 41
1. 安全方案..........................................................................................41
2. 技术手段..........................................................................................43
3. 实践应用..........................................................................................44
4. 产品研发..........................................................................................47 |
|