影子API
在资产梳理过程中,难免有些资产在安全视线之外,如有些API没有经过WAF或API网关,还有历史遗留下来的僵尸API,由于缺乏安全防护容易被攻击。
逻辑漏洞
传统安全检测产品很难发现未授权访问、越权访问、允许弱密码、错误提示不合理、未禁用目录浏览等逻辑漏洞(安全缺陷)。如,攻击者利用未授权访问、越权访问漏洞,获取到管理员账号密码等敏感数据,或者直接执行高权限动作,进而获取到系统控制权。
涉敏流量
现有WAF、API网关等产品更多是对入站流量的检测,缺乏对出站流量的检测,出站流量中如果暴露了明文的敏感数据,可能会被攻击者加以利用,比如获取到内部员工的邮箱后,发送钓鱼邮件。
高危组件
承载API的后端组件可能存在安全隐患(比如没有修复某个高危漏洞),同时这些组件因为API对外提供业务而暴露在互联网中,往往会成为攻击者的攻击目标。