小张大致看了风险API的名称，涉及到商品数据接口，作为一名大型互联网公司的网络安全运维员工，职业的敏感性让小张立即警惕：这次的API攻击事件可能非同小可。

　　该缺陷很容易被黑产加以利用：如用来获取大量敏感数据或者执行敏感操作，造成敏感数据泄露或系统失陷。

　　1.首先是此次攻击的IP信息，来自浙江XX市某云数据中心。猜测是攻击者通过某云端服务器，利用代理IP对API发起攻击的。

　　2.点开攻击源IP，可以看到该IP的攻击轨迹：对单个黑产攻击源IP分析后，小张发现纸飞机的代理ip地址购买，除了商品数据API接口，黑产还攻击了企业名下的订单交易列表等相关API接口。

　　3.从攻击样例信息来看，响应体部分返回了一个下载链接downloadlink，该链接无需鉴权即可下载，在下载链接的文件中，小张发现了地址、商品交易库存信息等重要敏感数据。

　　通过这次预警通知，小张基本还原出了此次攻击事件的全貌：黑产利用API接口的未授权访问缺陷，窃取平台敏感数据。随后，小张将对应的API缺陷进行进一步地验证和处理，尽力降低本次API攻击事件所造成的损失。而类似这样的风险事件处理，小张都有借助到API风险雷达平台提供的情报信息。

　　2022年7月，小张在永安在线情报平台公众号看到API风险雷达产品免费开放的通知： 该产品宣称可以帮助企业感知API攻击风险，0成本，0部署，注册账号就可以使用。

　　本着“反正试试也不要钱”的想法，小张尝试注册了账号，成为API风险雷达的“初代用户”，当时小张的内心并没有抱多少希望。但偶然一次，仅通过预警通知提供的资料信息，小张就精准、快捷处理了API攻击事件后，小张才发现，API风险雷达产品的功能丰富度完全超出了他的预期。

　　永安在线API风险雷达是免费的以API为中心的业务风险情报平台，可以从外部视角帮助企业用户发现API安全风险，同时还可以帮助企业快速验证业务风险数据，为企业信息安全管理提供情报数据支撑。

　　API风险雷达可以多方位感知企业API风险态势，统计维度包括“所有风险API”、“涉敏API”、“缺陷API”，企业可根据自己的需求进行分类查询。

　　了解API风险整体态势后，企业还能查看到每一个风险API的详细信息：包括API名称、API的历史被攻击情况、单个攻击源IP的历史攻击轨迹以及单次攻击流量、关联域名资产盘点、攻击风险强度排行等信息。产品升级后，还支持企业查看API缺陷检测结果，方便企业安全人员对症下药，精确修复。

　　企业不仅可以在官网上查看这些信息，还能订阅API安全情报预警功能，通过发送邮件或微信预警的方式获取API风险信息。上文中小张处理的API风险事件，就是通过订阅API安全情报预警功能后，在微信上就收到了风险API的详细信息，从而更方便快速地处理了此次API风险危机。

　　API风险雷达还可以根据企业用户的邮箱，匹配到企业名下所有关联域名，将监测到的API安全情报与这些域名进行匹配，预警关联域名存在的API风险。

　　添加企业关联域名后，会根据用户企业下所有风险API被捕获到的攻击情况，对API进行风险程度标识排行。

　　企业在日常流量审计过程中，如果发现异常的流量数据，还可以通过平台提供的“情报查询”功能，查询异常流量中的可疑IP、手机号、邮箱等情报信息，及时排查外部作恶或作弊风险，有效帮助企业根据情报信息调整业务安全策略。

　　“各行各业的数字化进程都在加快，API的接口越来越复杂，随之而来的业务风险也大幅增加。API风险雷达可以从外部帮助我们检测到API存在的风险，更深入地了解攻击者，如果仅通过我们内部部署的业务安全风控产品，是很难感知到这些API风险的。

　　在这4个月的使用过程里，我也能感受到产品功能的逐步优化和完善。我们期待API风险雷达的进一步升级，也期待未来更深入的合作。”