WAF可以对网站进行扫描,识别API漏洞。
API安全
API安全如何划分API业务用途?
-
登录认证
-
手机验证码认证
-
数据保存
-
数据查询
-
数据导出
-
数据分享
-
数据更新
-
数据删除
-
数据增加
-
下线注销
-
信息发送
-
信息认证
-
邮件信息发送
-
邮箱验证码认证
-
账号密码认证
-
账号注册
API安全支持检测哪些敏感数据?
敏感数据级别 |
敏感数据类型 |
非敏感数据(N) |
不涉及。 |
特级敏感数据(L0) |
与一级敏感数据(L1)或二级敏感数据(L2)相同。
|
一级敏感数据(L1) |
身份证、储蓄卡、手机号、护照号、港澳通行证、车牌号、军官证、身份证(中国香港)、身份证(马来西亚)、身份证(新加坡)、信用卡、SSN、JDBC连接串、PEM证书、KEY私钥、Linux-Passwd文件、Linux-Shadow文件。 |
二级敏感数据(L2) |
姓名(简体中文)、地址(中国内地)、邮箱、电话号码(中国内地)、姓名(中文繁体)、姓名(英文)、电话号码-美国、宗教信仰、IP地址、MAC地址、IPv6地址、GPS位置、IMEI、营业执照号码、税务登记证号码、组织机构代码、统一社会信用代码、车辆识别代码。 |
三级敏感数据(L3) |
性别、民族、省份(中国内地)、城市(中国内地)、未校验的身份证号、SwiftCode、日期、URL链接。 |
API安全支持检测哪些API风险类型?
风险类型 |
说明 |
疑似内部接口暴露 |
内部接口(例如用于内部办公、开发测试、运营管理的接口)暴露在公网。 |
缺乏访问限速机制 |
接口在应对高频访问时,缺少安全防护机制,可能导致暴力破解、恶意爬虫等。 |
敏感数据过度暴露 |
接口暴露过多的敏感数据,可能导致大规模数据泄漏。 |
缺乏异常处理机制 |
检测到程序报错信息,可能存在SQL注入、泄漏应用配置等风险。 |
缺乏访问控制机制 |
接口对不符合日常基线的访问(例如异常地区访问)缺乏控制机制。 |
敏感数据接口缺乏鉴权机制 |
接口缺少鉴权机制,可以被未授权的访问者访问,用于获取敏感数据。 |
API安全支持检测哪些异常事件类型?
事件类型 |
说明 |
来自异常地区的接口调用 |
例如,日常访问该接口的请求集中在北京地区,某天发现来自美国的请求调用了该接口。 |
来自异常源IP的接口调用 |
例如,日常访问该接口的IP集中在192.0.XX.XX,某天发现192.1.XX.XX调用了该接口。 |
来自异常终端的接口调用 |
例如,日常访问该接口的客户端主要是浏览器,某天发现有请求通过Python脚本调用了该接口。 |
来自异常时段的接口调用 |
例如,日常访问该接口的请求活跃时间集中在09:00~17:00,某天发现有请求在03:00调用了该接口。 |
针对登录接口的暴力破解 |
有攻击者暴力破解了账号密码。 |
针对登录接口的撞库攻击 |
有攻击者批量登录,试图撞库。 |
未授权访问获取敏感信息 |
有调用者在未授权的情况下,访问接口获取了敏感数据。 |
过多的敏感数据获取 |
某调用者通过该接口获取了大量的敏感数据。 |
异常的批量注册行为 |
该接口上发生了大量账号注册行为,疑似垃圾注册。 |
异常的批量导出行为 |
该接口上发生了大量下载或导出文件的行为。 |
异常的高频访问行为 |
该接口被调用的频率远高于正常频率。 |
验证码暴力破解 |
该接口上发生了暴力破解验证码的行为。 |
短信接口资源滥用 |
短信发送接口被高频调用,导致短信资源被恶意消耗。 |
邮箱接口资源滥用 |
邮件发送接口被高频调用,可能遭受了邮件炸弹攻击。 |
遍历爬取接口数据 |
该接口上发生了遍历某个参数,高频爬取接口数据的行为。 |
不符合规范的接口调用 |
调用请求中的某个参数不符合接口参数规范,例如,正常情况下参数A是整数格式,但发现调用请求中的参数A使用了字符串格式。 |
监控与告警
常用监控指标
监控指标 | 释义 | 建议阈值 | 处理建议 |
---|---|---|---|
200 | 服务器已成功处理请求,返回了请求的数据。 | 初始化正常业务时,200状态码的告警监控阈值可以配置为90%,具体根据实际业务情况调整。 | 如果发现低于监控比例,需要分析比例下降的原因,例如是否因为其他错误状态码比例增加。 |
request_time_msec | 客户端请求到返回结果的请求耗时。 | 按实际业务请求所需耗时,设置合适的超时告警监控阈值。 | 如果发现域名请求耗时较长,需要检查客户端-WAF-源站整体网路链路质量,并排查源站响应状态是否正常。 |
upstream_response_time | 请求回源时,源站返回数据的响应时间。 | ||
ssl_handshake_time | HTTPS协议请求时,客户端与WAF的SSL握手时间。 | ||
status:302 and block_action:tmd/status:200 and block_action:tmd | 人机校验JS请求状态码,302表示触发默认策略,200表示触发自定义cc防护策略。 | 初始化时,建议配置5%~10%的告警阈值比例,后续运营期间可以根据业务拦截情况灵活调整。 |
|
status:200 and block_action:antifraud | 被数据风控规则拦截。 | 测试可用后再上线,如弹出率过高,说明场景可能有问题,建议联系阿里云研发团队进行确认。 | |
status:404 | 服务器找不到请求的资源。 | 查询触发告警的IP。
|
|
status:405 | 被Web应用防护规则或精准访问控制规则拦截。 | 通过全量日志分析拦截的规则、请求行为,判断是正常拦截还是误拦截。 | |
status:444 | 被WAF CC自定义规则拦截。 |
|
|
status:499 | 客户端发起请求,服务端未返回数据,超过客户端设置的等待时间后,客户端主动断链,服务端返回给客户端该状态码。 |
|
|
status:500 | (Internal Server Error)服务器内部错误,无法完成请求。 | 建议检查源站处理资源负载、数据库等情况。 | |
status:502 | (Bad Gateway)错误网关, 服务器作为网关或代理,从上游服务器收到无效响应。一般由于回源网络质量变差、回源链路有访问控制拦截回源请求导致源站无响应。 |
|
|
status:503 | (Service Unavailable)服务不可用,由于超载或停机维护,服务器目前无法使用。 | 建议检查源站是否异常。 | |
status:504 | (Gateway Timeout)网关超时,服务器作为网关或代理,但是没有及时从上游服务器收到请求。 | 根据以下可能的原因进行排查:
|
原文链接:https://blog.csdn.net/seanyang_/article/details/130315163?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169114730916800197038198%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=169114730916800197038198&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-27-130315163-null-null.268%5Ev1%5Ekoosearch&utm_term=cc%E9%98%B2%E6%8A%A4
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22448