也就是说，攻击者利用平台存在的两个API缺陷组合的逻辑漏洞完成了这次攻击，成功爬取用户敏感信息ios改ip代理服务器。通过对攻击路径分析发现，攻击者在进行数据爬取时，会选择使用动态的代理IP进行攻击，达到隐蔽自身身份，以及绕过企业针对IP的限频限量的风控策略的目的。

　　同时，威胁猎人通过对“暗网、黑产论坛、匿名聊天平台”等黑产交易渠道的情报监测，发现大量第三方代理商的敏感数据正在被交易，字段包括“用户姓名、身份证、电话号码”等。

　　早在2021年6月，国内某网购平台由于两个API组合的逻辑漏洞，导致11.8亿的用户订单数据被攻击者非法爬取。

　　大规模数据泄露的背后，是针对用户的频繁营销推广骚扰及电信诈骗带来的钱财损失，是备受影响的企业品牌声誉和经济损失，甚至招致难以估量的监管处罚。

　　1、从研发角度，研发这两个API的可能是不同的人员，开发人员很难有意识地把这两个API关联起来，更难以预料到攻击者会如何组合API的调用逻辑进行攻击；

　　2、从测试角度，现有的安全工具通常不支持API组合的安全测试，更多的是单一维度的API安全测试，导致API组合漏洞及其风险更加难以把控；

　　3、从攻防角度，API的攻击没有明显的流量特征，传统安全设备难以发现；另一方面，攻击者会利用动态代理IP来进行爬取攻击，绕过了基于IP访问限频的安全策略，使得API风险（尤其是API组合漏洞）的感知难度进一步加大。

　　API承载大量流动数据，其安全建设是非常值得企业重视的。当前，API攻击带来的数据泄露量级大，存在高风险、不可控等问题。

　　一方面，企业对内需要加强API安全的建设，通过威胁猎人API安全管控平台，以API资产为中心，全面梳理API资产、发现阻断API攻击，提升风险事件的响应速度，以更完善的API安全管理与建设，实现“数据安全守卫战”的有效反击。

　　另一方面，企业对外需要借助“情报”及早感知API风险，减少风险管理的盲区，加强对API攻击、数据泄露等风险的监测和预警。

　　本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。