宝藏ip代理
与2019年发布的列表相比,2023年进一步强调了API攻击场景与Web攻击的差异化,突出API授权管理、资产管理、业务风控及第三方问题。
1、API3-对象属性级别授权失效:“对象属性级别授权失效”整合了2019版本的API3-过度数据暴露和API6-批量分配,这两种技术都基于API端点操作来获得对敏感数据的访问。
2、API4-资源消耗无限制:“资源消耗无限制”替代了2019版本的API4-缺乏资源&速率限制,尽管名称做了更改,该漏洞总体上保持不变。
2023年版本表达的含义更加准确,之前的名称容易让人将关注点集中在“速率限制”上,而速率限制只是防止资源过度消耗的方式之一。
3、API9-库存管理不当:“库存管理不当”替代了2019版本的API9-资产管理不当,虽然名称已经改变,但风险仍然是一样的,2023年版本更加强调精准管理、及时更新API库存的重要性。
从2023年“更新”的API风险来看,整体变化不大,重点强调了“授权”相关API风险,将授权类的API安全风险明确分为了3类,分别对应不同的级别,且排名都很靠前:
针对授权类的API安全风险的明确分类,威胁猎人安全研究专家认为:一方面,是提醒安全开发人员在设计API接口的授权机制时,需要考虑到这些不同的级别;另一方面,也说明“授权类缺陷”是整体危害性最大的一类API安全缺陷。
2022至2023年,威胁猎人Karma风险情报平台就曾捕获过多起利用未授权访问缺陷,大规模窃取公民个人隐私和企业敏感数据的API攻击案例。
API6-不受限制地访问敏感业务流:当API暴露了一个业务流,攻击者利用API背后的业务逻辑找到敏感的业务流,并通过自动化过度使用该功能时,则会对业务造成损害。
API7-服务器端请求伪造:当用户控制的URL通过API传递并由后端服务器执行和处理时,就会发生这种情况,可能带来未经授权的数据泄露、数据篡改、服务中断等后果。
API10-API 的不安全使用:API的不安全使用,例如绕过API身份验证的安全控制等,可能导致未经授权的访问和数据暴露。
API9提到我们要做好API的管理,API10则告诉我们:不光要管理好,也要使用好,尤其要关注使用第三方API所带来的风险,OWASP着重强调的也正是这一点。
其中,API6-不受限制地访问敏感业务流,是本次新增的3个Top10 API安全缺陷中排名最高的一个。
当越来越多的敏感业务通过API接口来承载,因“访问敏感业务流无限制”而导致的各类业务攻击事件层出不穷,如黄牛抢购、恶意占座(机票)、营销活动薅羊毛等。
加上不同缺陷可能被攻击者组合利用,一旦“不受限制地访问敏感业务流”和“授权类缺陷”组合在一起,将使得所带来的危害进一步加剧。
访问敏感业务流无限制的背后,往往是攻击者通过编写攻击脚本等方式,对API接口发起的自动化攻击,OWASP也针对性提出了应对方案,包括:设备指纹、人机识别(比如验证码)、行为检测、Tor和常见代理IP检测等。
不过,如果是专业黑产团伙发起的自动化攻击,无论是请求数据,还是行为序列等,都跟正常用户发起的请求没有任何差异,可以成功绕过设备指纹、人机识别等OWASP提出的各类方案,很难检测和防御。
想要检测和阻止这种类型的攻击,无论何种解决方案都需要建立在对攻击者足够了解的前提下宝藏ip代理,针对性进行攻防对抗,这也是业务风险情报的核心价值所在。
基于威胁猎人风险情报平台捕获的海量情报数据,可将黑灰产产业链整体结构按供需关系分为资源、服务、变现三大部分,并以此来区分产业链上中下游。
位于产业链下游的黑产团伙,往往会使用产业链上游提供的攻击资源以及中游提供的服务支持,尤其是针对访问敏感业务流的API接口,发起的大规模自动化攻击。
主要由于单个黑产团伙想要独立完成整个攻击很困难,而产业链不同层级间的严密分工及配合,则使其变得容易。
当黑产攻击日趋专业化、规模化,业务情报源也有了更大的拓展空间:威胁猎人通过长期对黑灰产业链上游、中游进行全面布控,第一时间捕获最新攻击数据,包括攻击资源、物料、技术等,并提取出情报IOC。
这样无论下游攻击方式或攻击目标如何变化,只要其攻击过程中用到了上中游提供的资源、物料和技术,我们都可以进行及时感知和精准识别,全面了解“攻击者在什么社群、使用了哪些工具、通过什么攻击要素、做出怎样的攻击行为”。
正是依靠强大的“情报”基础,威胁猎人风险情报平台可以从黑产论坛、暗网、交易市场等渠道监测到黑产传播、交易的全过程。
除用户数据泄露监测外,还提供网盘文件、文库文档、代码泄露等数据监测,通过全面的情报源帮助企业及时感知数据泄漏风险,洞悉风险态势,做到防患于未然。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。
