应用程序接口（API）数据安全研究报告（2020年）

拽到扒了你 · 发表于 2020-8-3 15:08:48

应用程序接口（API）数据安全研究报告（2020年）
目录
一、API 的基本情况.................................................................................................. 1
（一） API 简介............................................................................................... 1
（二） API 分类及组成要素........................................................................... 2
1. API 分类.............................................................................................2
2. API 组成要素.....................................................................................3
（三） API 安全标准化情况........................................................................... 4
二、近年来API 安全态势....................................................................................... 10
（一） Facebook 多起数据泄露事件与API 有关....................................... 10
（二）美国邮政服务API 漏洞导致用户信息泄露.................................... 11
（三） T-Mobile API 漏洞导致用户账号被窃取....................................... 11
（四） Twitter 虚假账户利用API 批量匹配用户信息............................. 12
（五）考拉征信非法出售API 导致个人信息泄露.................................... 12
（六）新浪微博用户查询接口被恶意调用导致数据泄露........................ 12
（七）微信团队收回小程序"用户实名信息授权"接口............................ 13
三、安全风险分析................................................................................................... 13
（一）外部威胁因素.................................................................................... 13
1. API 漏洞导致数据被非法获取.......................................................14
2. API 成为外部网络攻击的重要目标...............................................14
3. 网络爬虫通过API 爬取大量数据..................................................14
4. 合作第三方非法留存接口数据......................................................15
5. API 请求参数易被非法篡改...........................................................15
（二）内部脆弱性因素................................................................................ 16
1. 身份认证机制..................................................................................16
2. 访问授权机制..................................................................................17
3. 数据脱敏策略..................................................................................17
4. 返回数据筛选机制..........................................................................18
5. 异常行为监测..................................................................................18
6. 特权账号管理..................................................................................19
7. 第三方管理......................................................................................19
四、安全建议........................................................................................................... 20
（一）事前.................................................................................................... 20
1. 统一API 设计开发规范，减少安全隐患......................................20
2. 强化API 上线、变更、下线环节实时监控，确保全生命周期安全
................................................................................................................20
3. 完善API 身份认证和授权管理机制，强化接口接入安全审核..21
4. 健全API 安全防护体系，提升抵御外部威胁能力......................21
5. 加大API 安全保护宣传力度，提高员工安全意识......................22
（二）事中.................................................................................................... 22
1. 加强API 身份认证实时监控能力建设..........................................22
2. 加强异常行为实时监测预警能力建设..........................................22
3. 加强数据分类分级管控能力建设..................................................23
4. 加强API 数据流向监控能力建设..................................................23
（三）事后.................................................................................................... 24
1. 建立健全应急响应机制..................................................................24
2. 建立健全日志审计机制..................................................................24
3. 建立健全数据泄露溯源追责机制..................................................25
五、附录................................................................................................................... 26
（一）全知科技API 安全实践.................................................................... 26
1. 开放API 安全实践..........................................................................26
2. 面向合作方API 安全实践..............................................................29
3. 内部API 安全实践..........................................................................31
（二）观安API 安全实践............................................................................ 34
1. 安全方案..........................................................................................34
2. 技术手段..........................................................................................35
3. 实践应用..........................................................................................38
4. 发展趋势..........................................................................................40
（三）爱加密API 安全实践........................................................................ 41
1. 安全方案..........................................................................................41
2. 技术手段..........................................................................................43
3. 实践应用..........................................................................................44
4. 产品研发..........................................................................................47

		自动登录	找回密码
密码			立即注册

[大数据] 应用程序接口（API）数据安全研究报告（2020年）

站长推荐 /1