国泰君安证券通过主动API攻击面管理提升数据安全防护水平

传统API安全防护手段面临挑战

尽管企业普遍采用DevSecOps流程（集成SAST、IAST工具）进行上线前安全检测，并部署WAF、RASP等运行时防护设备，但API漏洞导致的数据泄露事件仍频发。2020年某社交平台因API非法调用导致3.5亿用户数据泄露；2021年某电商平台API接口被攻击导致11.8亿用户敏感信息泄露。现有防护方案难以全面覆盖影子API和僵尸API风险。

构建主动式API攻击面管理方案

国泰君安证券提出从攻击者视角出发的API安全实践方案，通过七步自动化流程实现全面探测：

1. 动态资源采集：通过访问首页自动加载的JS文件（如login.js、vue.runtime.global.prod.js）及静态地址，提取跨域JS资源（如阿里云CDN下的wpk.js）。
2. API接口梳理：利用正则表达式从JS文件中提取API接口，兼容Vue、Webpack等主流框架，覆盖多层目录结构。
3. 智能参数提取：从响应包中自动识别参数（如id、branchCollegeName），结合错误信息（如"Required List parameter 'types' is not present"）补充参数列表。
4. 多维度接口探测：采用GET、POST（表单/JSON）三种形式对API进行无参/有参请求，记录状态码、响应长度等关键指标。
5. 差异化结果分析：通过哈希比对响应内容（如jsapi_diff_response表中记录的长度差异），快速筛选有效数据。
6. 敏感信息检测：基于规则库（如hae规则检测JDBC连接字符串、wih规则识别阿里云AK_ID）发现敏感数据泄露。
7. 漏洞自动化识别：通过响应差异分析暴露未授权访问、RCE等漏洞。

实现精准风险识别与效率提升

该方案通过自动化工具实现对500+个API接口的深度探测，累计发现：

• 未授权漏洞：如/api/workflow/instance/startApplyInstance接口可绕过权限校验直接提交申请。
• 任意用户登录漏洞：如/prod-api/loginBySso接口通过构造"username":"admin"实现越权访问。
• RCE风险点：如/api/system/serverManage/pingServer接口缺失IP参数校验，返回错误提示暴露系统路径。
• 敏感信息泄露：在响应包中识别出数据库连接字符串（如jdbc:mysql://localhost:3306/javatest）及云平台AK密钥。

"通过主动攻击面管理，我们实现了对影子API的精准发现和风险量化，将传统防护的被动响应转为主动预警。" —— 翁伟刚，国泰君安证券数字供应链安全负责人

腾讯安全生态的技术支撑价值

腾讯云安全能力为国泰君安的API安全实践提供了关键支持：其WAF和RASP产品可与企业自研的主动探测工具形成闭环防护，通过API网关的流量分析能力补充业务场景监测维度。双方合作验证了从"防御-探测-响应"的全链路安全体系在金融场景的有效性，为行业提供了可复用的API安全管理范式。