38家银行API存在安全缺陷，“开放银行”信息安全建设任重道远

近日，永安在线鬼谷实验室结合捕获到的API攻击情报，对48家银行信用卡业务接口（API）进行了安全评估，发现有38家银行的信用卡业务的API存在安全缺陷，且至少有8家银行的API已经遭受黑产攻击并被爬取数据。

下文将以银行信用卡业务API安全为例，剖析当下银行API存在的安全挑战，并提供有效的解决方案。

1. 38家银行的信用卡接口存在API安全缺陷，至少8家已遭受攻击

近期，永安在线鬼谷实验室通过对48家银行的线上信用卡业务接口（API）进行安全评估，发现其中有38家银行的API存在安全缺陷。通过对捕获到的攻击情报进行分析发现，至少有８家银行的信用卡业务已经遭受到了黑灰产发起的恶意攻击。

情报数据显示，攻击者通过对银行线上信用卡API进行批量自动化攻击，可以查询到任意用户是否在该银行申请了信用卡、申请时间、申请进度、申请卡类型等信息。

这些信息均属于用户个人隐私，一旦被泄露，很容易被犯罪分子恶意利用并实施诈骗等违法行为。永安在线通过长期对数据资产泄露情况监测发现，在暗网、地下黑市等地方已出现不少售卖银行信用卡用户个人信息的非法交易。

2. 20家银行信用卡API存在未授权访问等高危缺陷

永安在线鬼谷实验室通过对攻击流量进行分析发现，银行线上信用卡业务的API存在安全缺陷是导致遭受攻击的主要原因，主要有未授权访问、不合理的错误提示和僵尸API三种缺陷问题。

未授权访问是一种危害性和可利用性都非常高的缺陷。永安在线在2022年Q1和Q2的《API安全研究报告》（点击链接即可了解详情）中都曾提到过此类缺陷，需引起企业单位的重点关注。在本文的第二部分也会着重讲解以上三种缺陷产生的原因及其危害。

3. 攻击者攻击手法高明，频繁切换IP绕过安全策略

根据永安在线Karma情报平台捕获到的攻击情报分析可知，攻击者具备丰富的对抗经验，采用动态代理IP进行低频攻击，超过80%的IP只发起2次攻击就切换，只有不到6%的IP会发起3次以上的攻击。

这种低频攻击方式可以绕过平台自身的限频策略，对于银行来说，想要及时发现并阻断攻击是比较困难的。

1. 未授权访问

未授权访问，属于《OWASP API Security Top 10》中排名第一的“API 1：Broken Object Level Authorization（失效的对象级别授权）”，是危害最大的API安全缺陷之一，一旦被利用往往会导致严重的数据泄露事件。

48家银行中有20家银行的线上信用卡查询API没有做任何身份认证和权限的管控。攻击者访问接口时，只需在输入参数中输入身份证号，接口就会返回该身份证号所属信用卡申请信息，包括申请时间、申请的信用卡类型、审批状态等。

黑产利用这些信息即可完善自身的社工库，并在黑市上售卖以牟利，甚至利用泄露的信息编造出更加“真实”的诈骗话术来进行诈骗。

2. 错误提示不合理

错误提示不合理，属于《OWASP API Security Top 10》中排名第三的 “API 3: Excessive Data Exposure（过度的数据暴露）”。

48家银行中有21家银行的线上信用卡查询API存在错误提示不合理缺陷问题。相关接口在获取验证码时会返回错误提示信息，从而暴露了相关身份证是否在该银行申请信用卡的信息。这类信息属于个人的隐私数据，是没必要且不应该暴露的。

黑产根据提示即可确定哪些用户有申请信用卡，并将这些手机号在暗网或地下黑市进行售卖，导致用户经常接到中介的电话骚扰甚至是电话诈骗，从而降低用户对平台安全性的信赖，造成用户大量流失。

3. 僵尸API

僵尸API是指业务已经停止，但相关的API接口还未下线。僵尸API往往存在于企业安全视线之外，安全防护相对薄弱，很容易成为攻击者的突破口。

很多银行的业务不断发展和变化，势必会产生和迭代大量的API，如果银行没有持续对API资产进行盘点和管理，很可能会出现僵尸API的问题。

从API攻击情报来看，这些存在僵尸API的银行系统中，业务已经上线了新页面和新接口，但老页面和老接口仍然存在。有的银行系统甚至老页面都下线了，但老的API接口却未下线，成为了黑产的攻击入口。

银行信用卡API安全问题只是“开放银行”趋势下银行业API安全问题的一个缩影。

那么，银行应如何应对“开放银行”趋势下的API安全挑战？

从技术角度讲，API安全应基于API的整个生命周期，围绕设计、开发、测试、上线运行、迭代到下线的每一个环节加强安全监测和风险识别。（关于API全生命周期安全防护更多详情，可点击阅读：永安在线发布「API安全建设白皮书」，提出API全生命周期安全防护模型）

但从高效防御的层面来看，永安在线安全研究专家建议从API的上线运行阶段入手，基于风险情报对API的流量分析，持续实现API和数据资产的梳理、漏洞的检测、攻击威胁感知，在摸底清楚资产基础上，及时预警风险并止损，从而给到安全人员有更多的战略时空资源来进行安全左移建设，逐渐实现API全生命周期的防护。

1. 银行API资产的安全管理

• API资产动态盘点

API安全可控的前提需要对API资产的全面可视，全面了解API开放的数量、API的活跃状况、有多少僵尸API或影子API、API是否涉敏或存在安全缺陷等信息，从不可知到全面可视，是银行API安全管理的基础。

永安在线API安全管控平台根据输入的流量，可对面向员工、合作企业、内部员工、开源组件和中间件的多种应用场景的API进行自动化梳理，建立API清单。

同时，可对API中流动的敏感数据资产进行识别和提取，支持敏感数据的自定义检测和分级分类，确保流动数据持续更新和可见。

• 持续评估API安全缺陷

在API资产和数据资产可见的基础之上，银行还需要对API在设计和开发方面存在的缺陷进行评估，检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。

永安在线基于代理蜜罐情报可以持续跟踪攻击者如何利用新型API漏洞来进行攻击，通过对新型攻击面和攻击特征的分析，持续迭代优化API漏洞检测引擎，覆盖业务API的逻辑漏洞以及开源系统API的未授权漏洞。

2. 业务情报风险及时感知

银行是数据密集型行业，涉及大量金融信息，还有人脸、身份证、账号密码等个人敏感信息。数据资产价值越高，围绕数据资产的攻击就会越来越剧烈。从上文来看，攻击者利用大量动态代理IP，伪装成正常的请求流量，对银行信用卡API中的敏感数据进行低频爬取。这种攻击方式可直接绕过传统限频策略或WAF等安全产品，银行很难及时感知并阻断风险。

永安在线基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报，构建API访问的行为基线，利用机器学习检测API访问序列中的异常行为，可以及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险，帮助银行及时识别风险并进行预警。

永安在线基于风险情报实现API资产梳理、敏感数据梳理、API安全缺陷检测和API攻击风险感知四大能力，能够让银行自动化盘点API和流动数据资产安全情况，及时感知敏感数据和业务的攻击风险，先于攻击者发现攻击面，为银行的数据和业务安全保驾护航。

为帮助金融机构、企业单位及时识别API攻击风险，永安在线推出API风险雷达平台，面向所有用户免费开放，复制下方链接到浏览器即可注册，实时监测和预警API风险，及时掌握业务风险攻击路径。