- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
什么是 API 异常访问行为?
在“万物皆可 API”的时代,通过 API 快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时,API 承载着越来越复杂的应用程序逻辑和大量敏感数据,也使得 API 成为黑产的重点攻击目标。
近年来,不少国际知名企业都因 API 安全疏忽而遭受了巨大的打击。不仅如此,据研究部门 Salt Labs 发布的《2022年第一季度 API 安全状况报告》显示,在过去12个月中,恶意 API 流量增加了681%,95%的组织都经历了 API 安全事件。然而,大多数组织并没有准备好应对这些挑战,超过三分之一(34%)的企业没有 API 安全策略。
在 API 访问中会传输大量的数据,数据的传输分为正常访问和数据窃取等方式,对于正常的数据访问,可以在数据分级分类的情况下,在 WAF 上实现对数据的脱敏和混淆等功能;对于数据窃取的情况下,需要识别异常的数据泄露,并阻断异常访问和连接。
API 的异常访问行为有哪些?
无明显特征的攻击行为。
针对业务的异常访问。
大量的数据传输。
异常的访问对象。
被攻击利用的过期 API 或者是僵尸 API。
过度暴露的数据。
API 异常访问行为挖掘最佳实践
发现 API 的异常访问行为、调查 API 的访问的异常行为,是在日常安全运营中发现并修补安全/运营漏洞的最佳手段。那么在 Web 应用防火墙控制台,可以通过 API 流量分析、BOT 流量分析等相关安全视图,进行快速的 API 异常访问行为的发现及挖掘,实现快速的安全运营闭环。
说明
API 的异常访问行为发掘调查主要分为以下几个步骤:
1. 发现异常访问请求。
在 攻击日志页面,发现异常的访问行为日志,并对其进行跟踪。
在 API 流量分析功能 中,发现异常的 API 概览信息,确认相关异常 API 日志,并对其进行跟踪。
在 BOT 流量分析页面,发现分数异常的 API 访问请求,并对其进行跟踪。
2. 确认异常访问请求中的唯一 UUID,根据 UUID 确认事件爆炸范围。
开启访问日志后,每一条访问日志存在唯一的 uuid,可以根据唯一 uuid 进行相关用户、API 访问日志、BOT 行为信息的分析及跟踪。
3. 考虑用户典型行为背景下的异常。
在不同的业务场景下,不同用户的 API 访问行为并非一致,如在登录 API 的场景下,如果频繁访问登录接口则异常的可能性极大。
4. 以影响访问因素为指导,确认是否异常。
确认当前访问源是否为异常访问源、登录地是否异常、调用方是否非业务访问源用户。
5. 已返回报表内容信息为指导,确认是否异常。
确认访问的 body size 等参数是否远超异常。
确认返回内容是否超出预期。
6. 确认相关 API 及用户信息、进行安全闭环。
确认异常访问行为、用户信息、以及相关 API 信息,对其进行处置后,及时进行安全修复。
是
否
本页内容是否解决了您的问题?