1. 概述
接口安全检查: 是发现和消除事故隐患、落实安全措施、预防事故发生的重要手段。
- 保障数据安全:通过检查接口,可以验证数据的完整性和安全性,确保数据在传输和存储过程中不被篡改或窃取。
- 防止非法访问:通过接口安全检查,可以验证请求的合法性,防止未经授权的访问和操作,保护系统的安全和稳定。
- 提高系统可靠性:接口安全检查可以发现并解决潜在的安全漏洞和问题,从而提高系统的可靠性和稳定性。
- 增强用户体验:通过接口安全检查,可以减少系统被攻击的风险,避免因安全问题导致的服务中断或数据泄露,从而增强用户体验。
- 满足合规要求:随着对数据安全和隐私保护的要求越来越严格,接口安全检查可以帮助Java项目满足相关法规和标准的要求,避免因安全问题导致的法律风险和罚款。
- 提升开发效率:通过自动化接口安全检查工具,可以提高测试效率和准确性,减少人工测试的工作量和时间成本。
重要检查对象:
- 自己开发维护的接口
- 提供给第三方使用的接口
- 第三方提供的接口的调用
2. 方案
2.1. 身份校验(认证)
身份校验: 接口是否登录才可访问。
案例: 有一个可通过手机号查询用户个人信息的接口,并且没有设置任何身份验证措施。 张三就可以根据手机号去获取到用户信息,再去倒卖盈利。
检查方法:
- 接口是否做了身份校验(账号密码、token令牌、手机验证码、人脸识别等)
- 调用后台接口的时候身份校验项是否非必传参数
解决方案:
- JAAS
- Spring Security
- 自定义的身份验证:如加一个签名拦截器(Intercepter),没有带签名参数的访问直接拦截
- 使用第三方身份验证提供商
2.2. 权限控制(鉴权)
角色鉴权: 当前用户是否具有调用某个接口的权限,如果没有那就不能调用接口。比如root用户拥有系统的所有权限,可以对系统进行任何操作,但普通用户只有部分权限。
案例: 张三注册了一个网站用户,发现有个接口,只要传入用户账号,就能查询到此用户实名信息,张三就可以通过此接口倒卖信息获利。这就是没做权限限制,理应是管理员的权限才能调用的接口,普通用户也可以使用。
检查方法:
- 是否存在水平越权:同一级别的用户A和B,A能否将接口的关键信息换成B的从而直接调用B才能调用的接口
- 是否存在垂直越权:C是A下面的子用户,A能否将接口的关键信息换成C的从而直接调用C才能调用的接口
- 检查代码是否仅通过传入的参数来判断查询的数据,而没有校验用户是否有该数据的查询权限
解决方案:
- 权限控制:
- Spring Security等框架来实施细粒度的权限控制
- 自定义鉴权逻辑
- 数据加密:
- 对敏感数据进行加密存储,确保即使数据被窃取,也不能直接访问
- 最小权限原则:
- 为每个应用或服务提供所需的最小权限,避免不必要的权限提升
2.3. 脱敏
数据脱敏: 对敏感数据的隐藏、加密或替换,以确保数据在传输、存储和使用过程中的安全性。
案例: 张三发现某网站有个中奖榜单,会展示中奖用户的手机号和身份证号等信息,但这些信息都做了脱敏处理,无法获取到确切的信息。但他通过访问这个榜单的后台接口,发现Response中的数据没有脱敏,他就可以以此获取所有中奖人的信息,从而获利。
检查方法:
- 不需要展示敏感信息的接口的出参就别传敏感信息;需要展示敏感信息的接口要对敏感数据进行加密、替换或隐藏后再返回Response
- 重点检查Response中有没有未脱敏的敏感数据
- 非必要情况,不得提供批量导出敏感信息的模块,检查系统是否有相关模块设计
解决方案:
- 用户需要知道完整敏感数据:
- 对敏感数据进行二次验证
- 用户不需要知道完整敏感信息:
- 仅返回业务必须的最少信息,不能将所有信息全部返回到
前台
- 仅返回业务必须的最少信息,不能将所有信息全部返回到
2.4. 加密
数据加密: 通过加密算法对接口传输的数据进行加密处理,以防止数据在传输过程中被窃取或篡改。
案例: 张三通过互联网系统漏洞,获取到某服务器 A 的权限,通过 ARP 欺骗,模拟网关,抓取整个网段的网络流量,发现某些系统未使用 https 加密传输,分析 http 流量收集到大量用户账号信息等,整理收集到的信息生成定制化字典,对其他服务器进行爆破攻击,最终获取到核心服务器权限,造成严重安全事故
检查方法:
- 检查接口是否采用 HTTPS 加密传输,在浏览器访问接口,检查浏览器地
址栏是否显示不安全连接 - 有 HTTPS 的接口,检查使用 HTTP 是否也能正常请求接口,有没有强制转
换为 HTTPS - 检查接口的Response是否存在敏感信息的明文
解决方案:
- 保证传输过程的机密性:互联网接口一致使用https,建议直接在负载均衡上安装 SSL 证书(可用Nginx代理),HTTP 端口重定向到 HTTPS 端口
- 对传输数据进行加密处理(必要,建议非对称加密),并进行完整性校验
2.5. 请求频率限制
请求频率限制: 输错密码5次就得再等一段时间才能再次尝试,防止频繁访问降低系统性能。
检查方法:
- 检查重要接口是否有频率限制设计,如发送短信,查询数据,上传文件等接口
- 检查接口频率限制是否生效,如使用同一个 HTTP 请求,重复发送 10 次以上,看接口是否仍然正常使用,未报异常
- 若某个接口存在漏洞,攻击者会在短时间内,大批量高频率访问某个接口,检查是否有接口调用次数统计模块
解决方案:
- 可以使用第三方库如
spring-boot-starter-aop和spring-boot-starter-cache来实现接口的频率限制
3. 补充说明
3.1. 个人信息
| 名词 | 说明 |
|---|---|
| 基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
| 身份信息 | 身份证、军官证、护照、驾驶证、 工作证、出入证、社保卡、居住证等 |
| 生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 网络身份标识信息 | 个人信息主体账号、IP 地址、个人数字证书等 |
| 健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
| 教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
| 财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
| 联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
| 个人上网记录 | 指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
| 常用设备信息 | 包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如 IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息 |
| 个人位置信息 | 行踪轨迹、精准定位信息、住宿信息、经纬度等 |
| 其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
875
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
