代理ip动态域名怎么设置
也就是说,攻击者利用平台存在的两个API缺陷组合的逻辑漏洞完成了这次攻击,成功爬取用户敏感信息。通过对攻击路径分析发现,攻击者在进行数据爬取时,会选择使用动态的代理IP进行攻击,达到隐蔽自身身份,以及绕过企业针对IP的限频限量的风控策略的目的。
同时,威胁猎人通过对“暗网、黑产论坛、匿名聊天平台”等黑产交易渠道的情报监测,发现大量第三方代理商的敏感数据正在被交易,字段包括“用户姓名、身份证、电话号码”等。
早在2021年6月,国内某网购平台由于两个API组合的逻辑漏洞,导致11.8亿的用户订单数据被攻击者非法爬取。
大规模数据泄露的背后,是针对用户的频繁营销推广骚扰及电信诈骗带来的钱财损失,是备受影响的企业品牌声誉和经济损失,甚至招致难以估量的监管处罚。
1、从研发角度,研发这两个API的可能是不同的人员,开发人员很难有意识地把这两个API关联起来,更难以预料到攻击者会如何组合API的调用逻辑进行攻击;
2、从测试角度,现有的安全工具通常不支持API组合的安全测试,更多的是单一维度的API安全测试,导致API组合漏洞及其风险更加难以把控;
3、从攻防角度,API的攻击没有明显的流量特征,传统安全设备难以发现;另一方面,攻击者会利用动态代理IP来进行爬取攻击,绕过了基于IP访问限频的安全策略,使得API风险(尤其是API组合漏洞)的感知难度进一步加大代理ip动态域名怎么设置。
API承载大量流动数据,其安全建设是非常值得企业重视的。当前,API攻击带来的数据泄露量级大,存在高风险、不可控等问题。
一方面,企业对内需要加强API安全的建设,通过威胁猎人API安全管控平台,以API资产为中心,全面梳理API资产、发现阻断API攻击,提升风险事件的响应速度,以更完善的API安全管理与建设,实现“数据安全守卫战”的有效反击。
另一方面,企业对外需要借助“情报”及早感知API风险,减少风险管理的盲区,加强对API攻击、数据泄露等风险的监测和预警。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。