《瑞數信息：2023API安全趨勢報告（27頁）.pdf》由會員分享，可在線閱讀，更多相關《瑞數信息：2023API安全趨勢報告（27頁）.pdf（27頁珍藏版）》請在三個皮匠報告上搜索。

1、API SECURITY TRENDS REPORTCONTENTS目錄 防護建議18 附錄21項目背景11資產管理11敏感信息監測11缺陷識別11 攻擊檢測11客戶收益12自動化攻擊加劇 API 安全風險16API安全管理更加智能化16API 安全成為云應用安全的重要組成17合規要求成為 API 安全的要素17OWASPAPISecurityTOP102023解讀22API安全事件合集26案例分享10API安全發展趨勢15概述02核心觀察04API 威脅態勢分析05攻擊態勢06安全防護難點07行業分布分析08API 缺陷分析08被攻擊 API 類型分析09攻擊手段分析09應用程序接口（App

2、lication Programming Interface，API）是一些預先被定義的接口或協議，用來實現和其他軟件組件的交互。API 在應用架構上實現了軟件的模塊化、可重用、可擴展能力，已經成為應用系統中使用廣泛的核心支撐技術之一。APP、小程序、智能家電、政務平臺、數據交換等都會使用到 API 相關技術。在數字時代下，無論是互聯網商業創新還是傳統企業數字化轉型，都推動了 API 技術的發展，API 從只用于企業內部服務調用，到面向外部服務調用，再到如今的對外公開調用，API 已經逐步從限制性的局部接口，轉向更大和更廣的領域。其連接的已不僅僅是系統和數據，還有企業內部職能部門、客戶和合作伙

3、伴，甚至整個商業生態。概述*報告中數據來源為瑞數信息防護案例及第三方公開數據采樣，數據僅供參考。APIsAPIsAPIsAPIsAPIsAPIsAPIsAPIsAPIs業務服務器業務服務器物聯網設備猛增企業內部訪問邊界不復存在隨時隨地訪問數據庫API 可公開獲取、標準化、高效且易于使用的特性，為開發者帶來諸多好處的同時，也極大地增加了應用系統新的風險。以 Web 和 API 為例，除了傳統的 Web 攻擊外，API 還面臨著資產管理不當、接口濫用、過度數據暴露等威脅。Gartner 在其報告中預測，“到 2022 年，API 濫用將成為導致企業 Web 應用程序數據泄露的最常見攻擊媒介。到 2

4、024 年，API 濫用和相關數據泄露將幾乎翻倍”。中國信通院也在應用程序接口（API）數據安全研究報告（2020年）中提出API技術在幫助企業建立業務生態溝通橋梁的同時，與之相關的安全問題也日益凸顯。近年來，越來越多的攻擊者正利用 API 漏洞來實施自動化的“高效攻擊”，由 API 漏洞所引發的安全事件，嚴重損害了相關企業和用戶權益，逐漸受到各方的關注。比如：2021 年 6 月，著名社交平臺 LinkedIn 領英，有超過 7 億用戶數據在暗網出售，涉及用戶的全名、性別、郵件以及電話號碼、工作職業等相關個人信息。據悉，部分數據是因為 API 管理不當導致泄露。2022 年 9 月，澳洲 O

5、ptus 公司存在未經身份驗證的 API 漏洞，導致數百萬用戶的個人信息遭黑客竊取。2023 年 1 月，一個包含約 2.35 億用戶信息的 Twitter 數據庫在黑客論壇 Breached 上被公布，此次泄露的數據大約有 63GB，其中包括用戶的姓名、電子郵件地址、Twitter 手柄、粉絲數量和賬戶創建日期。4?數信息技術（上海）有限公司核心觀察API 攻擊持續走高API已成為企業數字業務生態系統的支柱，但同時也給了攻擊者可乘之機。相關數據顯示，每個企業平均管理超過 350 種不同的 API，其中 69%的企業會將這些 API 開放給公眾和他們的合作伙伴。隨著 API 調用數量的增多和自

6、動化工具的興起，API 資產管理不當、自動化攻擊、業務欺詐以及數據泄露等風險正在對企業的業務安全構成新的挑戰。API 威脅復雜化在遠程辦公的背景下，員工終端更容易遭到惡意代碼感染與釣魚詐騙，同時企業應用向云端遷移已成為不可逆的趨勢，不但容易遭到外部入侵者的攻擊，也使得內外共謀舞弊變得更為容易，使得 API 威脅越來越復雜化。010203Bot 武器更聰明隨著人工智能、機器學習等技術的發展，Bot 自動化攻擊手段變得越來越普遍和復雜。Bot 自動化攻擊可以快速、準確地掃描 API 漏洞或對 API 發起攻擊，對系統造成嚴重威脅。5?數信息技術（上海）有限公司 攻擊態勢防護難點行業分布缺陷分析AP

7、I 類型分析攻擊手段PART 1API 威脅態勢分析 6?數信息技術（上海）有限公司API 威脅態勢分析隨著數字化技術的發展和 Web API 數量的爆發性增長，API面臨的安全攻擊比例已經超過傳統的Web漏洞攻擊，API 和小程序逐漸成為了很多企業和組織的流量入口，API 接口越來越豐富，引發的攻擊越來越多，并且通過API 接口攻擊突破 web 應用，作為跳板進入目標網絡。越來越多的攻擊者正利用 API 來實施自動化的“高效攻擊”，由 API 漏洞利用的攻擊或安全管理漏洞所引發的數據安全事件，嚴重損害了相關企業和用戶權益，逐漸受到各方的關注。2022 年檢測到 Web 攻擊中，針對 API

8、的攻擊占比已經超過 70%。依據相關數據統計發現，2022 年比 2021 年 API 攻擊增加約 60%。相關數據統計顯示，雖然 2022 年受疫情影響，長時間封控在家，多數單位居家辦公，但是黑灰產的攻擊行為并沒有因此而停止，反而增多。攻擊態勢1月0501001502002502月3月4月5月6月7月8月9月10月11月12月2022年2021年?30?70?7?數信息技術（上海）有限公司 防護難點與傳統的 Web 防護不同，API 的安全防護要求更為全面，需要從資產管理、缺陷識別、攻擊檢測、Bot 檢測、參數檢測、行為識別、訪問控制等多個環節考慮，任何環節的缺失或不足都會影響到整體的防護效

9、果：多渠道多邊界難以全面防護訪問入口的多樣化，帶來了業務應用部署邊界的多樣化，如：Web、APP、小程序、第三方平臺等業務接入渠道。多樣化接入導致了脆弱點的暴露面擴大，增加了風險管控復雜性。在同一防護體系內融合多業務接入渠道的防護是 API 防護的難點之一。接口分散和傳輸格式多樣性導致接口難以發現全面準確的 API 接口發現是 API 防護工作的基礎，對 API 接口進行自動識別、分類尤為重要。與傳統 Web應用可以依賴自身結構上的統一入口不同，API自身多以獨立個體的方式分散存在，采用點對點的訪問模式，難以通過接口之間的聯系進行 API 發現。同時，傳輸數據格式的多樣性（JSON、XML、G

10、raphQL 等）也增加了 API 的識別難度。業務緊耦合防護策略難以通用API 和業務是緊耦合的，針對 API 的防護策略往往也和業務相關，這就造成 API 防護策略在跨業務的情況下難以通用，而微服務架構和 DevOps 模式下應用快速迭代變化的特性也放大了這一難點，解決這一問題是API 防護產品快速部署推廣的一個難點。合法授權下的濫用風險難以識別目前 API 在授權之后的訪問控制相對薄弱，海外安全機構 Salt Security 發布State of API Security中顯示，95%的 API 攻擊發生在身份驗證之后。API 防護需要重點關注這些合法授權下的攻擊、濫用及數據過度暴露等

11、風險，如何在已經取得合法授權的請求中識別出異常訪問，是 API 防護需要解決的一個難題。8?數信息技術（上海）有限公司在 OWASP 的參考中已經定義了多種 API 缺陷，但在用戶生產環境中往往難以一一對應，為了更加直觀的展示這些缺陷問題，我們對其進行重新的組合。最為廣泛出現的 API 缺陷為過度數據暴露，其次是參數可遍歷、越權訪問、參數可篡改、明文密碼傳輸、接口誤暴露等。缺陷分析?21?27?19?API請求流量行業分布?4?3?3?9?10?4?行業分布不同行業應用、業務形態的差異導致了 API 使用情況各不相同，訪問量中占比最高的為互聯網，其次為金融和運營商。9?數信息技術（上海）有限公

12、司 API 作為應用與業務的結合體，面臨著雙重的攻擊威脅，除了遭受著傳統 SQL 注入、SSRF、惡意文件上傳等攻擊外，還面臨著各種業務層面的攻擊，例如越權訪問、信息遍歷等。不同的 API 功能類型，面臨的攻擊程度也不一樣，尤其是適合 Bot 進行自動化攻擊的接口，例如公開數據查詢、登錄、下單等類型的接口最容易遭受攻擊。攻擊手段類型分析?10?數信息技術（上海）有限公司PART 2案例分享資產管理項目背景客戶收益缺陷識別攻擊檢測敏感信息監測 11?數信息技術（上海）有限公司 案例分享項目背景某客戶隨著業務的發展，大量的 API 被應用，成為訪問服務和數據的入口，但針對 API 的防護手段比較單

13、一，只部署了 WAF 進行粗粒度的攻擊檢測，缺乏針對API資產管理、缺陷識別、攻擊檢測、敏感信息監測等能力。針對用戶業務系統的現狀，設計了 API 安全管控方案，在上線之后對于新增的 API、失活 API、敏感信息傳輸等監測能力均有所提升，防護方案主要從以下幾個方面入手：作為 API 安全防護的基礎，API 安全管控平臺通過 API 資產管理模塊實現對 API 資產的統一管理。API 資產管理基于數據建模自動發現被保護站點的 API 資產，對 API 資產進行梳理、分析和自動標簽分類，實現 API資產的生命周期管理，幫助客戶發現了疏于管理的 API 共計 100 多個。資產管理從業務流量中梳理

14、 API 資產的同時，對流量中傳輸的敏感信息進行監測，對敏感信息進行分級分類，持續發現通過 API 傳輸的敏感信息。有些敏感信息是必要傳輸內容，但有部分敏感數據因接口的過度暴露而遭到不必要的泄露，對敏感信息的識別可有助發現此現象，使得客戶內部敏感信息傳輸變得可見。敏感信息監測在 API 資產和敏感數據資產識別的基礎之上，需要檢測 API 在認證、授權、數據暴露、提交檢查、安全配置方面是否存在漏洞，令攻擊者來利用。解決API在設計和開發時存在的安全問題。方案采用日志流量分析技術，輔助主動探測和人工確認，對 API 接口進行缺陷檢測，發現業務應用中有存在缺陷的 API 接口，并及時反饋給相關業務部

15、門進行整改。缺陷識別API 攻擊不僅包括傳統的 web 攻擊，還包括基于業務層面的攻擊。針對系統的業務特性，設定了包括傳統Web 攻擊、業務邏輯攻擊、賬號破解等攻擊檢測策略。彌補已有 WAF 在 API 攻擊檢測上的不足。攻擊檢測12?數信息技術（上海）有限公司資產管理API 安全管控平臺自部署上線，共自動發現和確認 4475 個 API 資產，涉及 81 個業務分組。通過 API 資產管理功能，可實現對 API 資產的自動發現、確認、分組、分類；實現 API 接口與業務部門、責任人關聯，為API 資產的安全管理及監控分析做好基礎工作?？蛻羰找?3?數信息技術（上海）有限公司 敏感數據傳輸監測

16、當前 API 系統中存在明文傳輸敏感數據的行為，涉及 20 個 API 分組/系統，241 個 API 資產，敏感數據類型包括身份證號、手機號、郵箱、銀行卡等信息。梳理出了存在明文傳輸敏感數據的業務系統、接口路徑、數據類型、訪問來源等信息，為后續接口管控提供支撐。14?數信息技術（上海）有限公司缺陷識別攻擊檢測在運行過程中，發現系統存在未鑒權、越權訪問、明文密碼傳輸、弱口令、接口誤暴露、脫敏策略不一致等多種 API 缺陷。通過缺陷識別，可以了解當前 API 在合規要求、應用安全等多方面存在的風險和隱患，便于后續有針對性的改進。監測到 4765 次傳統攻擊事件，其中高風險事件 4586 件，中風

17、險事件 179 件，攻擊類型包括 SQL 注入、命令注入、掃描攻擊、0day/Nday 等。通過針對 API 接口的傳統攻擊檢測，可以提升接口安全。15?數信息技術（上海）有限公司 PART 3API 安全發展趨勢01020304自動化攻擊加劇 API 安全風險API 安全管理更加智能化API 安全成為云應用安全的重要組成合規要求成為 API 安全的要素 16?數信息技術（上海）有限公司無論是ToC還是ToB，會有越來越多的業務依靠API來辦理，越來越多的信息通過API來傳輸，因此，無論是內部服務器之間的API數量，還是對外開放的API數量都會井噴式地增長。同時，伴隨人工智能技術的發展，自動化

18、攻擊的門檻進一步降低，攻擊者可以利用機器學習算法快速生成自動化攻擊腳本，經過簡單修改，即可發起攻擊行為，自動化工具可以短時間內迅速掃描大量的API接口，利用接口返回信息分析判斷API是否存在缺陷，一旦發現可利用的缺陷便記錄下來并為下一步攻擊利用該缺陷做準備；由于自動化攻擊腳本的便利性，通過一臺設備可以對多個目標API發起大范圍的大量攻擊試探行為，從而獲得更多的攻擊信息；自動化工具在提升工作效率的同時，也加大了被惡意利用的可能，一旦自動化工具被濫用，類似DDoS攻擊和CC攻擊不可避免地夾雜在正常的用戶訪問中。加劇了API被攻擊的風險。因此，未來企業在應對業務形態變化的同時，亟需針對自動化攻擊的防

19、御策略提出有效的解決方案，保障 API 資產處于可控、可知、可見的狀態。自動化攻擊加劇API安全風險01隨著自動化攻擊泛濫，無論是對 API 安全漏洞主動檢測，還是對來源于外部攻擊的自動化防御，均提出了更高的要求。云計算、物聯網和微服務架構的廣泛應用，加速了 API 使用場景的復雜化和多樣化，對 API 安全管理提出了新的挑戰。在今后 API 技術發展的過程中，針對各類不同特征的攻擊，層出不窮的 API 安全漏洞，安全意識薄弱的從業人員，需要更加全面、智能的管理方式和管理策略。充分利用 AI 技術，采用多因素身份校驗機制、臨時令牌、虛擬網絡等有效技術手段來提升智能化管理水位。API 安全管理更

20、加智能化0217?數信息技術（上海）有限公司 伴隨著業務上云，極大地提升了業務的便利性，更多的業務依賴于云端 API 提供服務，終端不再拘泥于計算機，還有廣泛使用的手機、智能終端、物聯網設備，只要能夠接入互聯網，就可以通過訪問 API，完成復雜的業務。便利的同時隨之而來的是導致傳統邊界安全防御策略的失效。針對云端 API 的安全防護思路、防御策略、防御設備需要滿足不斷云化的業務，如何保護云端 API 的安全，對于安全從業者及廣大安全廠商將面臨技術更新，理念顛覆，防護意識需要同步更新。因此，未來 API 安全趨于結合云原生技術，并和業務相耦合，共同打造基于云原生安全的 API 安全以保護企業業務

21、安全。API 安全成為云應用安全的重要組成032021 年，我國數據安全法正式頒布，數據安全步入法治化軌道。數據安全法第三條規定：“數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等?！本唧w而言，做好數據安全需要做很多事情，需要針對數據的收集、存儲、使用、加工、傳輸、提供、公開等各個環節進行數據安全風險的監測、評估和防護等，也需要用到權限管控、數據脫敏、數據加密、審計溯源等多種技術手段。隨著數據隱私和安全法規的不斷嚴格，作為信息重要載體的 API 及其安全將會更加側重監管和合規性要求。未來針對 API 安全細分領域的解決方案預計將更加貼合 API 相關的法律法規的要求。合規要求成為

22、 API 安全的要素0418?數信息技術（上海）有限公司PART 4防護建議 19?數信息技術（上海）有限公司 防護建議在應對新型的 API 風險時，主要建設思路可以歸結為一個基礎，四個感知。一個基礎引用鬼谷子的話：“故知之始己，自知而后知人也”。API 資產管理所有安全防護的基礎，確保已上線的 API全部都在管控范圍之內，防止有漏網之魚導致安全防線失效。這個階段可借用 API 安全工具對訪問流量進行分析，自動發現流量中的 API 接口，對 API 接口進行自動識別、梳理和分組。同時，從 API 網關上獲取 API注冊數據，與 API 資產進行對比，從而發現未知 API 接口。四個感知環境感知

23、：API 的調用環境往往是瀏覽器、小程序或 APP，因此在事先對 API 調用者的使用環境進行環境感知非常重要，有效識別來自非法環境中的調用，比如攻擊者通過模擬器環境訪問 API，因此建議加強對 API 的調用環境進行環境感知，提升 API 調用者的環境安全感知能力。風險感知：API 面臨的風險主要來自自身缺陷和外部攻擊，在對風險進行感知發現，這兩方面缺一不可。綜合利用 AI、大數據、威脅情報等技術，持續監控并分析流量行為，重點關注 API 自身缺陷、參數合規、越權訪問、異常行為等風險感知能力。數據感知：API 主要用途之一是在傳輸數據，為了更好對敏感數據進行管控，需要對 API 傳輸的數據進

24、行感知。利用專家經驗、機器學習等技術，對敏感數據進行識別，同時結合行業的分類分級標準，進行相應的安全策略管控，全面提升敏感信息感知能力。API安全與業務緊密耦合，要結合業務特性制定與其匹配的API安全策略，因此要深入業務邏輯進行深度學習，結合特定關鍵字進行智能統計分析，利用業務模型對各業務進行詳細學習，制定適合的 API 安全策略，提升業務感知能力。業務感知：20?數信息技術（上海）有限公司OWASP API Security Top 10 解讀API 安全事件合集PART 5附錄 21?數信息技術（上海）有限公司 OWASPAPISecurityTOP102023 解讀OWASP TOP 1

25、0 是什么OWASP API Security TOP 10 是什么2019 VS 2023 變化對比OWASP 的全稱是 Open Web Application Security Project，是一個全球性的、非營利性的開放式 Web 應用程序安全項目，在設計、開發、采用和維護過程中提高應用程序安全性，以防止 Web 應用程序被黑客攻擊。OWASP 創建了一系列標準、方法論和工具，以幫助開發人員和安全專家更好地理解和處理 Web 應用程序安全問題。并為所有人免費提供有關 Web 應用程序安全的知識和工具。而 OWASP TOP 10 是由 OWASP 發布的常見 Web 應用程序安全風險

26、列表。該列表列出了當前最普遍、最重要的 Web 應用程序漏洞，它們可能被攻擊者利用來入侵或破壞 Web 應用程序。OWASP 在 2019 年針對 API 安全首次發布了 OWASP API Security TOP 10，也就是 API 安全性的十大風險清單。旨在幫助開發人員和安全專家更好地了解和處理 API 應用程序中存在的安全漏洞和面臨的攻擊，從而提高 API 應用程序的安全性。隨著 API 發展以及 API 安全面臨威脅的更新，OWASP 在 2023 年發布最新的 OWASP API Security TOP 10內容。對比 2019 版本更加凸顯了 API 安全的獨特性，與 WEB

27、 安全的差異性，在安全測試方法論，安全風險評估，技術與協議支持，認證和授權，安全測試工具，安全文檔和參考資料等方面都做了大量的更新。隨 著 API 的 普 及，我 們 在 2023年的列表中看到了對傳統安全措施的挑戰，以及對新興技術如Serverless、GraphQL 和 gRPC 的安全需求的關注。此外，由于攻擊者越來越熟練于利用 API 的漏洞，因此對防御措施產生了更強烈的需求?？傮w來說，2023 年的 OWASP API Security TOP 10 表明，隨著技術不斷演進和攻擊者利用策略的變化，API 安全環境也在持續變化。這意味著開發者、企業和安全專業人員需要不斷提高安全意識，針

28、對新的威脅和漏洞制定有效的對策。OWASP API Security TOP 10 2023 版本內容進一步突出了 API 安全場景的獨特性，凸顯 API 在資產、認證、權限、業務、合規、使用、第三方供應鏈的安全問題。22?數信息技術（上海）有限公司API1對象級別授權失效（無變化）API3對象屬性級別授權失效（合并）API2認證失效（更新）對象級別授權失效這個安全風險在 2019 和 2023 版本中都是 TOP1，是當前 API 面臨最常見也是危害最大的安全風險，與之對應的越權漏洞在攻防對抗中越來越多的被利用，由此帶來的數據泄露問題也日益嚴峻。2019 版中的 API3 過度數據暴露和 A

29、PI6 批量分配在 2023 版中被合并為新的 API3 對象屬性級別授權失效，對請求參數和響應內容做了綜合考慮。API3:2019 過度數據暴露強調 API 在響應返回了與當前業務無關的數據，例如密碼 HASH、會話 ID等，造成敏感信息泄露。API6:2019 批量分配則強調攻擊者將多個請求參數一次性傳遞給應用程序，以試圖在不受控制的情況下修改或創建對象。在 2023 版中綜合考慮了請求和響應兩部分，統一為對象屬性級別授權失效，導致攻擊者能夠訪問和修改未經授權的對象屬性，這種安全漏洞可能會帶來敏感數據泄露、身份驗證繞過、越權訪問等風險。在 2023 版中“用戶認證失效”更新為“認證失效”，

30、安全風險的場景定義更豐富和更清晰，涵蓋的范圍更廣和更全。API2:2019 中用戶認證失效指的是攻擊者可以利用弱密碼、會話固定等方式來繞過應用程序的身份驗證和訪問控制機制，并以未經授權的身份訪問敏感數據或執行操作。相比之下，API2:2023 中認證失效涵蓋了更廣泛安全問題，除了直接的的驗證問題，還涉及到邏輯錯誤，例如憑據重用、不安全的默認配置、缺乏多因素身份驗證等。API4未受限制的資源消耗（更新）API5功能級別的授權失效（無變化）API4:2019 資源訪問無限制更新為 API4:2023 未受限制的消耗資源，從名稱上看，兩種風險非常相似，但也存在一定的區別。API4:2019 是關于

31、API 資源不足問題，當 API 請求速度過快時，系統無法提供足夠的資源來滿足所有的請求，攻擊者可以利用這個漏洞發起拒絕服務（DoS）攻擊。而 API4:2023則是指 API 的資源消耗或者負載的大小沒有受到限制，攻擊者可以通過發送特殊格式的惡意請求，以少量資源即可耗盡服務器資源，從攻擊手段上看更為多樣。功能級別的授權失效這個安全風險在 2019 和 2023 版本中不管是定義還是排名都沒有變化，由此可見這個風險在 API 場景中危害之大，影響范圍之廣。這個安全風險比較貼近于在攻防對抗中常見的垂直越權安全漏洞。23?數信息技術（上海）有限公司 API6不受限訪問敏感業務（新增）不受限訪問敏感

32、業務是在 API:2023 中新增的安全風險，這個主要指的是敏感業務接口沒有做合理的訪問控制，導致攻擊者可以利用自動化工具或者腳本實現批量查詢或者敏感數據獲取，這個跟 API4 未受限制的資源消耗有點類似，但是更側重于通過自動化工具無限制訪問敏感業務，例如購買機票、發表評論等業務接口。從這個變化來看 OWASP 想進一步突出 API 安全場景的獨特性，區別與傳統 WEB 場景的差異。隨著 API 使用量的飛速增長，利用自動化工具進行 API 攻擊可極大的增強攻擊效率。API7 服務器端請求偽造 SSRF（新增）在 2019 版本中 API7 是安全配置錯誤，在 2023 版中服務器端請求偽造

33、SSRF 代替，“安全配置錯誤”則降低到第 8 位。服務器端請求偽造 SSRF 并不是一個新漏洞，在 OWASP Web TOP 10 應用程序漏洞中已經榜上有名，說明 API 在面臨著新興攻擊和傳統 Web 攻擊的雙重威脅。API8錯誤的安全配置（排名下降）在 2019 版本中 API8 是輸入型注入相關的安全風險，但是隨著安全開發和安全措施的發展，此類型的安全風險在 API 場景中越來越少，所以在 2023 版本中直接被剔除，由 2019 版中 API7 錯誤的安全配置代替。API9存量資產管理不當（更新）2019 版 API9 資產管理不當更新為 2023 版 API9 存量資產管理不當

34、。這兩個風險都是跟資產管理的相關，但是 2023 版側重為存量資產的管理不當，重點關注已下線 API、測試 API、補丁情況、第三方系統進行數據共享等場景下的管理不當風險。API10API 的不安全使用（新增）刪除了 2019 版本中的 API10 日志與監控不足，新增 API 的不安全使用。這個主要側重于 API 在使用中的一些安全風險，例如不經驗證就與外部或第三方 API 進行交互；不限制可用于處理第三方服務響應的資源數量等等。24?數信息技術（上海）有限公司一個包含約 2.35 億用戶信息的 Twitter 數據庫于 2023 年 1 月 4 日在一個在線黑客論壇Breached 上被泄

35、露，此次泄露的數據大約有63GB，其中包括用戶的姓名、電子郵件地址、Twitter 手柄、粉絲數量和賬戶創建日期。Sam Curry 領導的安全研究團隊于 2023 年 1 月 3 日，在互聯 網（https:/ 安全事件合集推特 2.35 億用戶個人信息泄露法拉利、寶馬、勞斯萊斯、保時捷等車企爆出 API 安全漏洞2023 年 1 月 19 日，電信運營商 T-Mobile US在提交給美國證券交易委員會（SEC）的報告中披露，其近期遭遇的網絡安全事件造成 3700萬用戶個人信息遭泄露，包括客戶姓名、賬單地址、電子郵箱、電話號碼、出生日期、T-Mobile賬戶號和賬戶訂閱條目數與套餐功能等信

36、息。T-Mobile 聲稱，黑客在 1 月 5 日通過一個應用程序編程接口（API）未經授權就獲取到了這些數據。美國通信巨頭 T-Mobile 五年遭遇八起數據泄露25?數信息技術（上海）有限公司 2022 年 9 月 22 日，Optus 公司證實公司系統遭黑客入侵，約 980 萬名用戶的個人信息可能被非法獲取，黑客威脅 Optus 公司支付 100 萬美元（約 155 萬澳元）的贖金，否則每天都會公布一萬名客戶的詳細資料。據稱本次事件是因為向第三方公司開放的 API 接口存在安全漏洞造成。2023 年 5 月，Dark Reading 對越南 Finsify 開發的“Money Lover

37、”應用程序中被爆出存在 API潛在漏洞。Money Lover 是一款管理個人財務的工具應用程序。它可以幫助用戶記錄和跟蹤他們的支出、收入、預算、賬單和債務等方面的情況。這個漏洞是由 Trustwave 研究員 Troy Driver 發現，攻擊者可利用此漏洞獲取到其他用戶的敏感信息，如賬戶余額、交易記錄等，并且還可能篡改或刪除用戶的數據，導致用戶的賬戶受損或者財務數據被泄露。澳洲 Optus 公司數百萬用戶信息遭黑客竊取Money Lover 爆出潛在 API 漏洞2022 年 12 月上旬，約 10 萬個屬于加密貨幣交易機器人服務商 3Commas 用戶的 API 密鑰上周傳出大規模外泄，

38、3Commas 迅速要求幣安、Kucoin 等交易所停止授權。如今 3Commas 在官網發布 API 密鑰外泄事件 FAQ，承認是被黑客竊取 API 密鑰，但還不知道幕后黑手是誰。約 10 萬 3Commas 用戶 API 密鑰遭泄26?數信息技術（上海）有限公司2022 年 12 月上旬，在 LEGO Group 旗下的樂高轉售平臺中發現了 API 安全漏洞，Salt Security 研究人員表示，這些漏洞可以讓攻擊者對客戶賬戶進行大規模賬戶接管(ATO)攻擊，訪問平臺存儲的個人身份信息(PII)、用戶數據等信息。2023 年 2 月，新德里網絡安全研究人員，在ShopifyAPI 的密

39、鑰中發現了一個嚴重的安全漏洞，超過 400 萬手機用戶的敏感數據面臨被黑客攻擊的風險。如果攻擊者獲得了硬編碼密鑰的訪問權限，他們就可以訪問相關敏感數據或進行程序執行操作。在數以百萬的安卓應用程序中，有 21 個電子商務應用程序被識別出有22 個硬編碼的 Shopify API 密鑰，任何有權訪問該代碼的人都可以看到該密鑰。LEGO Marketplace 曝 API 漏洞，可進行賬號接管攻擊Shopify API 密鑰存在嚴重的安全漏洞2022 年 6 月，Bleeping Computer 報道了廣泛使用的開放自動化軟件(OAS)平臺中的兩個漏洞。OAS 平臺是工業控制系統中流行的數據連接平臺，它允許各種設備和協議之間的互操作，平臺上的 API 接口存在未鑒權、任意文件寫入等安全漏洞。OAS 平臺受關鍵 API 訪問漏洞的影響