0x01前言
1.1API和数据安全概述
应用程序编程接口(ApplicationProgrammingInterface,API),例如:函数、HTTP接口。主要用来提供应用程序与研发人员基于某个特定的软件或硬件访问的一组例程(例程是某个系统对外提供的功能。比如操作系统的API、服务等就是例程),而又无需访问源代码,或理解内部工作机制的细节。又或者是软件系统不同组成部分衔接的约定。API本身是抽象的,API仅定义了一个接口,而不涉及应用程序在实际实现过程中的具体操作。
随着时代的发展,数据已成为新时代的生产要素,是国家基础性和战略性资源,随之而产生的数据安全风险事件也愈发凸显。
随着越来越多的应用程序研发深度依赖于API之间的相互调用,随着API的绝对数量及调用量呈井喷式增长,API安全风险日益凸显,已经成为数据安全最大风险的敞口。API的绝对数量及调用量,自从年的26%,增长到年的69%,超过HTML流量的4倍。但API流量的安全性遭到忽视已经是一个不可回避的现状,API安全也成为了安全界的热门话题。今天,特地为大家带来API安全和数据安全系列文章,希望大家通过本期文章的进一步了解API安全对金融行业的巨大威胁与影响,掌握金融行业对于API安全的监管要求。
0x02金融行业API安全风险分析
2.1金融行业API安全概述
年09月01日,《中华人民共和国数据安全法》正式实施,在此背景下,金融行业对于数据保护和安全建设的诉求已经提升到一个全新的层次。而作为连接数据和应用程序之间的重要通道,API逐渐成为“黑客”撬开数据“蜜罐”的利器。近年来,API安全风险导致了银行业与金融业发生诸多数据安全事件,影响到了各行各业并产生了巨大的经济损失。
整体来看,API接口复杂,缺乏对常见漏洞的检查和对传输数据的检测是造成API薄弱的重要原因。金融行业所面临的API安全风险主要包括:数据失陷、越权访问、数据篡改、违规爬取和数据泄露等。从API的安全访问流程上开展评估,实施的防护措施应包含有效的身份识别、可控的访问授权、针对特定数据返回结果的筛选和访问异常行为检测及响应等。而在大多数业务场景下,API在对外提供服务时并没有部署良好的防护机制。究其原因,一方面是由于业务的快速迭代,安全负责人无法完整掌握API的使用情况,业务与安全存在割裂;另一方面是对现有API完成安全改造的成本高昂。
然而,对于金融行业的安全管控也并非易事。大多数安全从业者会建议隐藏资源、减少暴露面和攻击面;但是随着云原生时代的到来,微服务核心架构下,API成为服务交付的必选。API遭遇的安全困局实际上也是现代数据安全与网络安全面临的一个共性问题:对安全团队而言,既不能因为保护业务而让系统变得封闭,又要将API风险敞口保持在可控范围之内。这就需要制定平衡业务与安全的API风险管理策略,并搭建功能完善、具备弹性的安全管控平台。对于API的数据安全防护已迫在眉睫。
2.2金融行业API常见安全隐患
2.2.1API密钥泄露导致的安全隐患
API密钥或其他账号信息(例如,SSH访问密钥、数据库访问账号等)。这些密钥保存在云端储存(AmazonS3、百度云盘)或代码资料库(Github),由于研发人员未配置访问控制策略,使企业内部敏感信息可以遭受任意用户的公开访问。例如:华住酒店信息泄露事件就是由于研发人员将内部数据库访问信息和账号存储在公开Github资料库中导致其遭受黑客利用。
2.2.2API失效的访问控制
失效的访问控制,曾荣登OWASP的Top1。通俗来讲,其主要分为两种形式。一种是经常提到的未授权访问漏洞,顾名思义,攻击方可在未经系统执行身份验证的情况下实现登录行为;另一种是大家所熟知的“逻辑越权”,逻辑越权可分为水平越权和垂直越权两种形式,水平越权是指普通用户可以登录具备同级别权限的其他普通用户的账户,而垂直越权是指普通用户可以登录到管理员权限的账户。简而言之,当用户访问的资源比正常情况下访问到的资源更多时,就发生了越权漏洞,而越权产生的根本原因是其API或功能在系统研发期间所产生的逻辑错误。
2.2.3基于API的网络攻击
攻击方可以通过在API的函数参数、Json和XML等有效负载嵌入恶意代码,实施目录遍历、命令注入、SQL注入、XSS跨站脚本攻击、绕过身份验证和授权等常见的API攻击手段,达到敏感数据窃取或破坏系统的目的。更进一步,API攻击已经工具化,攻击方可以通过使用安全工具搜集将要实施攻击的域名和API列表,再使用其他工具查找或删除敏感数据。
2.2.4硬编码的API密钥
Web和移动端应用程序包含硬编码的API密钥或账号信息,黑客可通过反编译攻击获取API密钥或账号信息。例如,智能家居和物联网厂商Zipato发现内部某个设备的API接口实现代码中包含超级用户的登录密钥。参见