網絡安全實戰化攻防演練是檢驗企業網絡安全建設效果的有效方式，攻防雙方在真實的網絡環境中開展對抗，更貼近實際情況，有利于發現企業真實存在的安全問題。盡管很多企業通過持續的攻防演練有效提升了安全防護能力，但隨著組織數字化進程的加快以及業務的迅速發展，總有一些跟不上變化的風險點出現。本文梳理總結了企業在實戰化攻防演練活動中容易忽略的API安全風險，并給出相應的防護策略建議。

知己：容易被忽視的攻擊風險

從以往攻防演練活動的實際案例來看，各組織單位在攻擊面梳理過程中容易忽略的幾個關鍵點：

1.影子API

在資產梳理過程中，難免有些資產在安全視線之外，如有些API沒有經過WAF或API網關，這些API可能是歷史遺留下來的僵尸API，由于缺乏安全防護容易被攻擊。

2.邏輯漏洞

傳統安全檢測產品很難發現未授權訪問、越權訪問、允許弱密碼、錯誤提示不合理、未禁用目錄瀏覽等邏輯漏洞（安全缺陷）。如，攻擊者利用未授權訪問、越權訪問漏洞，獲取到管理員賬號密碼等敏感數據，或者直接執行高權限動作，進而獲取到系統控制權。

3.涉敏流量

現有WAF、API網關等產品更多是對入站流量的檢測，缺乏對出站流量的檢測，出站流量中如果暴露了明文的敏感數據，可能會被攻擊者加以利用，比如獲取到內部員工的郵箱后，發送釣魚郵件。

4.高危組件

承載API的后端組件可能存在安全隱患（比如沒有修復某個高危漏洞），同時這些組件因為API對外提供業務而暴露在互聯網中，往往會成為攻擊者的攻擊目標。

API是支撐線上應用連接和數據傳輸的關鍵，承載著企業核心業務邏輯和大量敏感數據，在應用環境中非常普遍。數字時代的今天，各行各業都有大量的API去支撐業務交互：

• 金融：各類銀行、證券的APP、小程序、第三方業務開放平臺等對外提供大量API接口用于客戶查詢或辦理業務，涉及手機號、銀行卡號、身份信息等敏感數據。

• 政務：市民卡、線上政務平臺等互聯網政務系統需要開放API接口在互聯網上，方便民生業務辦理，涉及的是公民居住證、學歷信息、身份證號等個人隱私數據。

• 醫療：受到新冠疫情影響，在線醫療已經成為人們日常生活的一部分，大量的檢測報告查詢APP、小程序以及與疫情相關的在線業務蓬勃發展，相關數據信息需要通過API進行調取。

• 互聯網：基于不同互聯網行業的實際業務場景，會開放大量的業務API接口給到第三方合作伙伴、第三方用戶等等。

這些承載著大量高價值數據的API是網絡黑客關注的重點，自然也是攻擊方眼中的“香餑餑”。

2021年，我們看到有多個API漏洞在攻防演練活動被利用和發現，主要包括：

這些API漏洞是如何被攻擊方利用的呢？

知彼：攻擊方常見的攻擊“套路”

基于過往實戰案例，攻擊方針對API的常見攻擊手法有以下幾種：

1 暴力破解/撞庫攻擊

攻擊方通過掃描發現管理后臺登錄頁面，并針對登錄接口進行撞庫或暴力破解，獲取到賬號密碼后直接登錄后臺，或者利用獲取的郵箱、手機號等信息進行釣魚、社工等攻擊，直至進入到企業內網獲取更多的權限。

2 危險路徑掃描

某些后端組件由于默認配置或錯誤配置，導致向互聯網暴露了一些不必要的API，其中有些API可執行高權限操作或獲取敏感數據，而攻擊者則可以通過路徑掃描，定位到這些API的路徑。

3 漏洞掃描

隨著業務的快速發展，API的迭代和發布周期也隨之加快，在“重業務、輕安全”理念驅使下，很多API在開發過程中就存在漏洞，攻擊者通過漏洞掃描器對站點發起掃描，以此發現存在漏洞的API，并發起攻擊。

應對：從業務安全的實際需求出發

在了解了攻防演練中那些容易被忽略的API安全風險點和攻擊方常見的攻擊套路后，各組織單位想要在攻防演練中更好應對，還需要從自身業務安全出發，制定相應的API安全管理策略。

永安在線研究認為，各組織單位在網絡安全攻防演練中想要有效管理和保護API資產，可以從API資產梳理、缺陷評估、攻擊檢測三方面著手。

一是資產動態梳理

1. 通過自動化識別業務API調用關系，全面、持續清點API接口，包括影子API和僵尸API、老版本和功能重復的API，縮小風險暴露面。

2. 持續監測敏感數據流動，對各種敏感數據進行識別，并對敏感數據進行自定義檢測，減少數據暴露面。

3. 持續動態梳理系統訪問賬號，多維度記錄賬號訪問和操作行為，主動識別風險動作，同時也為企業提供行為溯源能力。

二是缺陷持續評估

1. 全面、持續地評估API缺陷，要能夠監測目前常見各類安全缺陷，并做到全面覆蓋OWASP API Top10安全問題。

2. 通過完整、清晰的缺陷樣例和自動化驗證流程，幫助企業提升缺陷修復效率。

三是攻擊精準感知

1. 基于情報構建API行為基線，及時發現API攻擊、賬號異常、IP攻擊等風險。

2.系統支持輸出多維度IOC異常標識，聯動WAF、風控等快速自動化阻斷。