应用程序接口（API）数据安全研究报告（2020年）

应用程序接口（API）数据安全研究报告（2020 年）中国信息通信研究院安全研究所2020 年 7 月版权声明本报告版权属于中国信息通信研究院安全研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院安全研究所”。违反上述声明者，本院将追究其相关法律责任。前言伴随着云计算、大数据、人工智能等技术的蓬勃发展，移动互联网、物联网产业加速创新，移动设备持有量不断增加，Web 应用、移动应用已融入生产生活的各个领域。这一过程中，应用程序接口（Application Programming Interface，API）作为数据传输流转的重要通道发挥着举足轻重的作用。API 技术不仅帮助企业建立与客户沟通的桥梁，还承担着不同复杂系统环境、组织机构之间的数据交互、传输的重任。然而，在 API 技术带来上述积极作用的同时，与其相关的数据安全问题也日益凸显。近年来，国内外曝出多起与 API 相关的数据安全事件，严重损害了相关企业、用户的合法权益。我国多个行业已出台相关规范性文件，覆盖通信、金融、交通等诸多领域，对 API 安全提出了一定要求，对其技术部署、安全管理等进行规范。然而当前已研制标准主要针对特定 API 类型、应用场景提出要求，尚未全面覆盖 API 数据安全，相关标准规范体系有待完善。本报告围绕近年来 API 安全态势，分析梳理了 API 技术面临的内、外部安全风险，针对事前、事中、事后不同阶段的安全需求差异，从 API 安全管理、防护手段、风险管控等多角度为企业实现高效、灵活的 API 安全实践提出了针对性建议。技术支持：全知科技（杭州）有限责任公司联系人：王丹辉中国信息通信研究院电子邮件：wangdanhui@caict.ac.cn解伯延中国信息通信研究院电子邮件：xieboyan@caict.ac.cn朱通全知科技（杭州）有限责任公司费嫒全知科技（杭州）有限责任公司目录一、 API 的基本情况..................................................................................................1（一） API 简介............................................................................................... 1（二） API 分类及组成要素........................................................................... 21. API 分类.............................................................................................22. API 组成要素.....................................................................................3（三） API 安全标准化情况........................................................................... 4二、 近年来 API 安全态势.......................................................................................10（一） Facebook 多起数据泄露事件与 API 有关....................................... 10（二） 美国邮政服务 API 漏洞导致用户信息泄露.................................... 11（三） T-Mobile API 漏洞导致用户账号被窃取....................................... 11（四） Twitter 虚假账户利用 API 批量匹配用户信息............................. 12（五） 考拉征信非法出售 API 导致个人信息泄露.................................... 12（六） 新浪微博用户查询接口被恶意调用导致数据泄露........................ 12（七） 微信团队收回小程序"用户实名信息授权"接口............................ 13三、 安全风险分析...................................................................................................13（一） 外部威胁因素.................................................................................... 131. API 漏洞导致数据被非法获取.......................................................142. API 成为外部网络攻击的重要目标...............................................143. 网络爬虫通过 API 爬取大量数据..................................................144. 合作第三方非法留存接口数据......................................................155. API 请求参数易被非法篡改...........................................................15（二） 内部脆弱性因素................................................................................ 161. 身份认证机制..................................................................................162. 访问授权机制..................................................................................173. 数据脱敏策略..................................................................................174. 返回数据筛选机制..........................................................................1