ip代理软件下载

ip代理4个月前代理ip71

全网最佳IP代理服务商- 9.9元开通-稳定的代理服务
如果您从事外贸、海外视频博主、海外推广、海外广告投放,欢迎选择我们。
让您轻易使用国外主流的聊天软件、视频网站以及社交网络等等

  在万物互联的数字时代,API承载着企业核心业务逻辑和敏感数据,在应用环境中变得越来越普遍。特别是在疫情常态化后,移动办公、在线教育等线上应用蓬勃发展,API作为能够支撑线上应用连接和数据传输重任的一种轻量化技术,受到国内外企业组织的青睐。

  针对API的攻击正成为黑灰产及黑客的首选,相较于传统窗体和Web页,API承载的数据价值更大、攻击成本更低,通过攻击API来获取高价值数据、进行业务欺诈等成为越来越多非法分子的常规手段。

  据报道,2021年12月,Apache APISIX被曝攻击者在未授权的情况下可以访问Apache APISIX的API接口;2021年7月,媒体报道领英有超过7亿用户数据在暗网出售,黑客利用领英API下载用户数据;2020年3月,新浪微博被报道因用户查询接口被恶意调用导致APP数据泄露……这些频频爆出的与API相关的安全事件不得不引起人们对API安全的重视。

  永安在线长期致力于业务反欺诈和API安全的研究,围绕API重点关注全网针对API攻击的黑灰产情报,并基于情报发现API存在哪些安全风险、如何检测和修复风险,以及面对风险应怎样避免出现重大损失。在本报告中,永安在线的API安全现状和攻击趋势进行分析,梳理了该季度典型的API攻击事件并给出防御措施,希望借此引起行业对API安全的重视,进一步推动API安全的发展。

  2)数据风险:攻击者通过编写恶意爬虫等方式,伪造接口或网页请求,非法获取业务数据或用户数据,进而引发数据泄露风险。

  3)账号风险:攻击者针对平台的注册/登录接口发起恶意注册、扫号、撞库等攻击行为,从而引发虚假账号、账号盗取等风险。

  4)流量欺诈:攻击者针对平台发起虚假的业务请求,包括针对电商平台的刷单、黄牛抢购,针对社交平台的水军控评、刷量刷赞等。

  永安在线情报研究人员分析,从去年至今,数字藏品的热度一直居高不下,越来越多的人投入到数字藏品的交易中。但

  通过对泄露数据交易论坛、TG群、暗网等渠道进行全方位布控,获取数据泄露的第一手资讯。本章节基于永安在线数据资产泄露风险监测平台获取到的Q1数据泄露数据进行梳理和分析,得出以下结论:

  通过对部分数据泄露事件进行分析发现,其中有不少数据泄露与API风险有关,详情见第三和第四章节关于API缺陷导致的数据泄露案件分析。

  永安在线情报研究人员通过进一步分析,发现物流行业涉及的流程节点较多,接触人员广泛,且面单往往是公开显示的,因此存在数据泄露的环节比较多,如快递数据的录入、派发快递等环节都很容易造成数据泄露。在Q1数据泄露事件中有将近100件是因为快递派发环节面单拍摄导致数据泄露。

  可利用性、普遍性三个维度,梳理需要引起重视的五个API安全缺陷。以下结合案例针对每一个缺陷进行详细解释:

  虽然返回的不是明文密码,是密码的Md5,但由于密码的强度不高,在实际测试中通过“彩虹表”可还原出管理员的明文密码。这属于非常严重的安全漏洞,一旦遭到攻击,攻击者可轻易获取到管理员的账号密码,并拿到系统的最高权限。

  仍有不少的API接口,尤其是一些管理后台登录的API接口,存在着弱密码缺陷。在OWASP API Security Top 10 排名第二的 API 2 : Broken Authentication(失效的用户身份验证)中,也包含了允许弱密码这类缺陷。

  在Q1审计中发现存在敏感数据过度暴露问题的API接口不在少数,部分API接口一次性返回几百甚至上千条用户的涉敏数据,还有部分API接口返回了一个用户的所有敏感数据,即使有些数据是不需要的。

  这些中奖信息是公示出来的,任何人都可以查看,很容易被不法分子获取,在黑市上进行售卖,或利用这些信息对中奖人进行诈骗。

  很多人不太重视URL传输凭证或账号密码问题,甚至不认为是安全缺陷,因此在Q1的审计结果中存在很多这类缺陷的API接口,但这类缺陷还是有挺高的危害性,不应该忽视。在OWASP API Security Top 10排名第二的 API 2 : Broken Authentication(失效的用户身份验证)中也明确指出通过URL传输敏感数据,包括凭证或密码是有问题的:

  从用户的交互体验上来说,这样的错误提示是没有问题的。但攻击者可以利用这个API接口实施扫号攻击(遍历手机号),从而知道哪些手机号在该APP上注册过。黑产掌握了这些信息,一方面可以提高进一步攻击(撞库、密码暴破等)的效率,另一方面可能会利用这些手机号进行广告营销或电话诈骗。

  你一定听说过,2021年3月11日,一张平平无奇的JPG图片,经过区块链技术处理后变成了数字藏品,最终以6934万美元(折合人民币4.51亿元)的价格在佳士得拍卖成交。自2021年起,国内越来越多的数字藏品发售平台如雨后春笋般涌现,关于数字藏品的讨论遍布于微信群、朋友圈、微博里,甚至是街头巷尾、地铁公交上,无处不在。而数字藏品产业链也逐渐吸引了不少人的投资和购买。

  数字藏品(NFT)作为一种非同质化代币,得益于数字内容资产化,依托区块链技术保证唯一性、真实性和永久性,以及去中心化的交易模式保证内容创作者的收益等特征,使得交易效率更高、交易成本更低、交易更为活跃,数字资产流动性明显增强。与此同时,由于新兴产业的不规范、监管不足,数字藏品行业存在巨大的非法获利空间,成为黑灰产虎视眈眈的“猎物”。

  黑产人员发现数字藏品发售平台的商机后,通过职业拉单人寻找相应的开发人员(工具作者),开发人员会对数字藏品平台相关API接口、协议(如注册、登录、验证等)进行研究,破解后开发工具,再通过发卡平台将工具售卖给黑产人员。黑产人员利用工具获取批量账号资源,再自动化抢购待发售数字藏品,并在相关二手平台转卖,最终实现获利。

  攻击者利用API接口存在的安全缺陷(包括明文传输用户名和密码等接口参数),伪造相关API接口请求,从而套取活动中的奖励。

  此外,也可以利用黑灰产情报,对营销作弊攻击使用到的黑灰产资源(账号、手机号、IP等)进行识别和阻断。

  永安在线数据资产泄露风险监测平台Q1捕获到了多起线上政务平台因API接口被攻击导致数据泄露的事件,泄露的信息涉及到公民的手机号、证件照片、工作信息、婚姻信息等,其中最为普遍的是公民手机号信息泄露(本报告上文中也提到泄露的数据类型中,手机号是最多的)。

  进一步溯源分析,找到了调用该API接口的入口,属于某市交警的微信公众号,该公众号支持线上办理各种交管业务。业务办理的逻辑其实很简单,步骤如下:

  1)用于界面展示手机号(已在前端脱敏)。这里存在的问题是,敏感数据不应该在前端才进行脱敏,在后端就应该完成脱敏,API接口只需返回脱敏后的手机号。安全经验不足的开发人员往往会犯这种错误。

  3月中旬,永安在线API安全管控平台通过自动化缺陷审计,发现某互联网+校服平台存在敏感数据过度暴露的问题。在平台的“服务企业”一栏中,可以查看到所有的供应商信息:

  该做法的本意是向大众公示合作的供应商具备良好的生产资质。然而,查询接口返回的信息中,除了需要公示的信息之外,还返回了很多无需公示的信息,其中就有非常敏感的个人隐私数据,包括企业法人的身份证号、身份证正反面照片、手机号、紧急联系人、许可证等。

  由于这些信息都是公开可访问的,容易被不法分子窃取,从而造成严重的数据安全问题,这不仅给数字化转型的企业造成实际的业务损失,一定程度上也打击了传统企业向数字化转型的信心。

  API并不是什么新鲜事物,与其相关的安全问题也并非近期才出现,而API安全之所以成为当前业内普遍关注的重要问题,一方面是数字经济时代的互联网业务场景快速爆发,需要大量的API去交互数据,也就是说API数量增多了,承载着数据价值更高了;另一方面,随着业务快速发展,API的迭代和发布周期也随之加快,而当前很多企业“重业务,轻安全”的理念为API埋下了潜在的安全风险。

  API技术会持续发展,攻击者阴谋阳谋也会日益迭代,围绕API已形成了一个新的攻击面,其安全建设任重而道远。

  基于黑灰产情报精准发现和拆解攻击者的各种特征和招式ip代理软件下载,做到更精准的风险感知和更及时的阻断,将是API安全管理的更优解,这也是永安在线一直推崇的API安全建设理念。

全网最佳IP代理服务商- 9.9元开通-稳定的代理服务
如果您从事外贸、海外视频博主、海外推广、海外广告投放,欢迎选择我们。
让您轻易使用国外主流的聊天软件、视频网站以及社交网络等等

相关文章

ip代理全局模式是什么

  如今是互联网时代,从事网络工作的伙伴很多,自然对HTTP代理IP再熟悉不过了。那什么是API呢?什么是HTTP代理IP的API接口?下面就为大家简单介绍一下。   该...

免费动态ip代理软件下载

  世界标准日(World Standards Day),是国际标准化组织(ISO)成立纪念日——10月14日。设立世界标准日的目的是提高对国际标准化在世界经济活动中重要性的认识,以促进国...

美国ip代理

美国ip代理

  好莱坞明星照片泄露事件,将云技术安全与否的问题再次推入公众视线。然而,互联网云技术的发展大潮汹涌澎湃,用户与企业能否在隐私与共享中取得平衡?   对于奥斯卡影后詹妮弗...

天狼IP代理软件下载

  LSI面向该公司的APP系列通信处理器推出LSI宽带接入软件 8.1 版。该最新软件除支持IPv4视频、音频与数据业务外,还支持IPv6协议,其中包括增强型安全和服务质量(QoS)管理...

 1