Web Application Firewall：Ikhtisar keamanan API

Informasi Identitas

Kontak dan Lokasi

Keuangan dan Pembayaran

Pengenal Jaringan dan Perangkat

Kredensial dan Kunci

Pengidentifikasi perusahaan dan umum

Spesifikasi Keamanan

• Metode HTTP tidak aman

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API ini menggunakan metode HTTP yang tidak aman. Penyerang dapat memanfaatkan metode ini untuk menyelidiki informasi server atau merusak data server, seperti menggunakan PUT untuk mengunggah file berbahaya atau DELETE untuk menghapus sumber daya server.

  • Saran: Nonaktifkan metode HTTP yang tidak aman seperti PUT, DELETE, TRACE, dan OPTIONS sesuai kebutuhan bisnis Anda.

• Algoritma tanda tangan JWT lemah

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API ini menggunakan algoritma tanda tangan JSON Web Token (JWT) yang lemah.

  • Saran: Gunakan algoritma tanda tangan yang lebih aman seperti RS256. Pastikan kuncinya kuat serta ditransmisikan dan disimpan secara aman.

• Parameter sebagai URL

  • Tingkat risiko: Rendah

  • Deskripsi risiko: Parameter permintaan untuk API ini berisi nilai URL. Hal ini dapat menciptakan risiko Server-Side Request Forgery (SSRF).

  • Saran: Rancang ulang API untuk menghindari penggunaan URL yang dikontrol pengguna secara langsung dalam parameter. Implementasikan validasi dan penyaringan ketat pada konten parameter.

Keamanan Akun

• Transmisi kata sandi teks biasa

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API ini mentransmisikan kata sandi akun dalam teks biasa. Penyerang dapat mencegat kredensial selama transmisi melalui metode seperti sniffing, yang mengakibatkan peretasan akun.

  • Saran: Enkripsi atau hash bidang kata sandi sebelum transmisi untuk mencegah mereka dicegat.

• Toleransi kata sandi lemah

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API log masuk ini mengizinkan kata sandi lemah. Penyerang dapat mengeksploitasi ini untuk melakukan serangan brute-force pada akun.

  • Saran: Terapkan kebijakan kata sandi yang kuat. Kata sandi yang kuat minimal 8 karakter dan mencakup karakter dari setidaknya tiga dari kategori berikut: huruf besar, huruf kecil, angka, dan simbol. Beri tahu pengguna dengan kata sandi lemah yang ada untuk segera mengubahnya.

• Kerentanan kata sandi lemah di aplikasi internal

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: API log masuk aplikasi internal ini mengizinkan kata sandi lemah. Penyerang dapat mengeksploitasi ini untuk melakukan serangan brute-force pada akun.

  • Saran: Terapkan kebijakan kata sandi yang kuat. Kata sandi yang kuat minimal 8 karakter dan mencakup karakter dari setidaknya tiga dari kategori berikut: huruf besar, huruf kecil, angka, dan simbol. Beri tahu pengguna dengan kata sandi lemah yang ada untuk segera mengubahnya.

• Adanya kata sandi default

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Aplikasi ini mungkin memiliki kata sandi default. Penyerang dapat menggunakan kata sandi default untuk mengambil alih akun di mana kata sandi belum diubah.

  • Saran: Untuk aplikasi dengan kata sandi default, paksa perubahan kata sandi saat log masuk pertama kali. Untuk akun yang ada dengan kata sandi default, beri tahu pengguna untuk segera mengubahnya.

• Pengembalian kata sandi teks biasa

  • Tingkat risiko: Rendah

  • Deskripsi risiko: Respons dari API ini berisi kata sandi teks biasa. Penyerang dapat mencegat kredensial pengguna selama transmisi, yang mengarah pada pengambilalihan akun.

  • Saran: Rancang ulang API untuk menghindari pengembalian kata sandi teks biasa dalam respons.

• Penyimpanan kata sandi dalam cookie

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API ini menyimpan informasi kata sandi akun dalam cookie, di mana ia dapat dengan mudah dicuri oleh penyerang.

  • Saran: Rancang ulang API untuk menghindari menyimpan kredensial sensitif dalam cookie.

• Akses log masuk tanpa batasan

  • Tingkat risiko: Sedang

  • Deskripsi risiko: API log masuk ini tidak memiliki mekanisme verifikasi seperti CAPTCHA atau serupa. Penyerang dapat mengeksploitasi ini untuk melakukan serangan brute-force tanpa batas pada kata sandi.

  • Saran: Tambahkan mekanisme verifikasi, seperti CAPTCHA, terutama setelah beberapa upaya log masuk gagal, untuk mencegah serangan brute-force.

• Pemberitahuan kegagalan log masuk yang tidak masuk akal

  • Tingkat risiko: Rendah

  • Deskripsi risiko: Pemberitahuan kegagalan log masuk dari API ini mengungkapkan apakah nama pengguna ada. Penyerang dapat menggunakan informasi ini untuk mendaftar akun yang valid untuk serangan lebih lanjut.

  • Saran: Saat login gagal, kembalikan pesan umum seperti "Nama pengguna atau kata sandi salah" alih-alih mengungkapkan keberadaan nama pengguna.

• Transmisi kata sandi akun berbasis URL

  • Tingkat risiko: Sedang

  • Deskripsi risiko: API ini mentransmisikan kata sandi akun dalam URL. Jika URL terganggu, kredensial bocor. URL sering direkam dalam log server, header referer, dan riwayat browser.

  • Saran: Gunakan metode POST untuk mentransmisikan data kredensial dalam badan permintaan.

Kontrol Akses

• Aplikasi internal dapat diakses dari Internet

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API ini termasuk dalam aplikasi internal dan dapat diakses dari Internet tanpa pembatasan akses. Ini bisa memungkinkan penyerang mengeksploitasi atau menyerang aplikasi internal.

  • Saran: Tambahkan kebijakan kontrol akses, seperti daftar putih alamat IP, untuk membatasi sumber akses.

• Sumber akses tanpa batasan

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API ini diakses dari sumber (alamat IP atau wilayah) di luar garis dasar normalnya.

  • Saran: Tambahkan kebijakan kontrol akses. Gunakan daftar hitam dan daftar putih IP atau fitur Daftar Hitam Lokasi untuk membatasi sumber akses.

• Alat akses tanpa batasan

  • Tingkat risiko: Rendah

  • Deskripsi risiko: Jenis klien yang digunakan untuk mengakses API ini tidak sesuai dengan garis dasar akses klien API.

  • Saran: Tambahkan kebijakan kontrol akses untuk membatasi alat akses dan mencegah penyerang menggunakan skrip jahat untuk menyerang API atau mengumpulkan data.

• Kecepatan akses tanpa batasan

  • Tingkat risiko: Rendah

  • Deskripsi risiko: API ini diakses dari satu alamat IP beberapa kali per menit.

  • Saran: Tambahkan kebijakan pembatasan laju untuk mengontrol akses frekuensi tinggi dan mencegah penyalahgunaan.

Manajemen izin

• Akses Internet ke aplikasi internal

  • Tingkat risiko: Sedang

  • Deskripsi risiko: API ini menggunakan kredensial otentikasi yang tidak cukup acak dan mungkin dapat ditebak. Penyerang dapat melakukan brute-force terhadap kredensial ini untuk mendapatkan akses tidak sah atau meningkatkan hak istimewa.

  • Saran: Tingkatkan keacakan kredensial otentikasi. Hindari menggunakan format pendek atau mudah ditebak.

• Akses tidak sah ke API sensitif

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: API ini, yang berisi data sensitivitas tinggi, dapat diakses tanpa otentikasi. Ini dapat menyebabkan kebocoran data yang serius.

  • Saran: Tambahkan mekanisme verifikasi identitas yang ketat dan komprehensif untuk mencegah penggunaan API yang tidak sah.

• Akses tidak sah ke API internal

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: API ini, yang termasuk dalam aplikasi internal, dapat diakses tanpa otentikasi. Ini dapat menyebabkan penggunaan layanan internal yang tidak sah atau kebocoran data internal.

  • Saran: Tambahkan mekanisme verifikasi identitas yang ketat dan komprehensif untuk mencegah penggunaan API yang tidak sah.

• Transmisi kredensial berbasis URL

  • Tingkat risiko: Sedang

  • Deskripsi risiko: API ini mentransmisikan kredensial otentikasi dalam URL. Jika URL terganggu, kredensial dapat disalahgunakan. URL sering direkam dalam log server, header referer, dan riwayat browser.

  • Saran: Gunakan metode lain untuk mentransmisikan kredensial otentikasi, seperti header kustom, cookie, atau badan permintaan.

• Kebocoran informasi AccessKey

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: Respons dari API ini berisi AccessKey ID dan AccessKey Secret, yang dapat dieksploitasi oleh penyerang.

  • Saran: Rancang ulang API agar tidak mengembalikan informasi AccessKey. Selain itu, segera nonaktifkan atau hapus AccessKey yang bocor.

• Akses tidak sah untuk mendapatkan token STS

  • Tingkat risiko: Menengah

  • Deskripsi risiko: API ini dapat diakses tanpa otorisasi dan tanggapannya berisi token Layanan Keamanan (STS). Penyerang dapat menggunakan API ini untuk mendapatkan kredensial sementara dengan izin untuk mengoperasikan sumber daya cloud Anda. Hal ini dapat menyebabkan panggilan layanan yang tidak sah, pencurian data, penyalahgunaan sumber daya, operasi berbahaya, bahkan peretasan akun penuh dengan eksfiltrasi data besar-besaran dan biaya tinggi.

  • Saran: Segera terapkan otentikasi identitas dan kontrol akses yang ketat untuk API ini. Pastikan hanya entitas yang berwenang yang dapat memanggil API terkait STS di lingkungan tepercaya. Hal ini mencegah akses tidak sah dan peningkatan hak istimewa. Selidiki cakupan izin dan catatan penggunaan token STS yang bocor. Cabut kredensial tersebut segera dan perkuat keamanan kebijakan peran Resource Access Management (RAM) terkait. Jangan mengekspos API STS ke publik. Jangan menyematkan atau memanggil API berisiko tinggi ini dalam kode frontend, aplikasi klien, atau repositori publik.

Perlindungan Data

• Jumlah jenis data sensitif yang berlebihan dalam respons

  • Tingkat Risiko: Sedang

  • Deskripsi risiko: Respons dari API ini berisi jumlah jenis data sensitif yang berlebihan. Ini mungkin menunjukkan paparan data yang tidak perlu, meningkatkan risiko kebocoran data.

  • Saran: Tinjau kebutuhan bisnis untuk setiap jenis data yang dikembalikan. Mask data sensitif penting dan hapus jenis data yang tidak esensial.

• Data sensitif berlebihan dalam respons

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Respons dari API ini berisi data sensitif dan tidak membatasi jumlah data yang dikembalikan. Ini dapat dieksploitasi untuk menyebabkan kebocoran data berskala besar.

  • Saran: Batasi jumlah data yang dikembalikan dalam satu respons berdasarkan kebutuhan bisnis Anda. Ini mencegah penyerang menggunakan API untuk mendapatkan sejumlah besar data sensitif.

• De-identifikasi data tidak memadai

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Respons dari API ini mengembalikan versi de-identifikasi (termasking) dan versi non-de-identifikasi (teks biasa) dari data yang sama, mengalahkan tujuan de-identifikasi.

  • Saran: Tinjau data sampel untuk mengonfirmasi risiko ini. Pastikan data yang dimaksudkan untuk dimasking tidak juga terpapar dalam teks biasa di tempat lain dalam respons.

• Informasi server sensitif bocor

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: Respons dari API ini berisi informasi server sensitif. Penyerang dapat menggunakan informasi ini untuk merencanakan serangan dan mengambil alih kendali server.

  • Saran: Tinjau data sampel untuk mengonfirmasi risiko. Hindari mengembalikan informasi server internal langsung ke klien.

• Alamat IP internal bocor

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Respons dari API ini tampaknya berisi alamat IP internal, membocorkan informasi jaringan internal. Penyerang dapat menggunakan informasi ini untuk menyerang aplikasi internal.

  • Saran: Rancang ulang API untuk mencegah informasi jaringan internal bocor dalam respons.

• Transmisi data sensitif berbasis URL

  • Tingkat risiko: Sedang

  • Deskripsi risiko: API ini mentransmisikan data sensitivitas tinggi dalam URL. Jika URL terganggu, kebocoran data sensitif mungkin terjadi. URL sering direkam dalam log server, header referer, dan riwayat browser.

  • Saran: Gunakan metode POST dan transmisikan data sensitif dalam badan permintaan.

• Kebocoran dokumen OpenAPI

  • Tingkat risiko: Menengah

  • Deskripsi risiko: API ini mengekspos dokumen definisi antarmuka, seperti dokumen OpenAPI atau Swagger. Penyerang dapat menggunakan dokumen ini untuk mendapatkan jalur API bisnis, struktur parameter, dan detail bisnis. Hal ini memungkinkan mereka membuat permintaan yang tepat untuk probing batch, pencurian data, dan serangan logika bisnis. Mereka juga dapat menemukan API sensitif dan potensi operasi tidak sah, yang dapat menyebabkan kebocoran data sensitif atau operasi ilegal.

  • Saran: Batasi secara ketat akses eksternal ke dokumen definisi antarmuka sesuai kebutuhan bisnis Anda. Di lingkungan produksi, nonaktifkan atau enkripsi antarmuka dokumen API terbuka untuk mencegah akses tidak sah. Jika harus dibuka, batasi akses hanya untuk akun tepercaya atau jaringan internal. Tinjau secara berkala kebijakan eksposur dokumentasi API untuk menghindari penyertaan bidang sensitif dan deskripsi bisnis. Perkuat kontrol keamanan dengan menerapkan otentikasi identitas, daftar putih IP, dan gerbang API untuk mencegah penyerang mendapatkan metadata antarmuka.

• Kebocoran kunci API model besar

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: API ini dapat diakses tanpa otorisasi dan tanggapannya berisi kunci API untuk layanan model besar. Penyerang dapat menggunakan API ini untuk mencuri kunci API. Hal ini dapat menyebabkan akses data tidak sah, konsumsi kuota real-time, pencurian informasi sensitif, pembuatan konten berbahaya, eksfiltrasi data bisnis, dan penyalahgunaan akun.

  • Saran: Terapkan mekanisme verifikasi identitas yang ketat dan komprehensif untuk mencegah penggunaan API yang tidak sah atau peningkatan hak istimewa. Segera selidiki penggunaan aktual kunci API dan ganti segera. Pastikan kunci API hanya digunakan di lingkungan yang aman dan terkendali. Jangan mengeksposnya di frontend atau repositori publik.

Desain API

• Keterlacakan parameter permintaan

  • Tingkat risiko: Rendah

  • Deskripsi risiko: Parameter permintaan untuk API ini memiliki format tetap dan dapat diprediksi. Penyerang dapat mengulangi nilai parameter berdasarkan pola ini untuk mengakses data secara batch.

  • Saran: Tingkatkan keacakan parameter. Hindari menggunakan nilai sederhana, berurutan, atau mudah ditebak seperti angka pendek.

• Volume data yang dikembalikan dapat dimodifikasi

  • Tingkat risiko: Rendah

  • Deskripsi risiko: Parameter permintaan untuk API ini mengontrol jumlah item yang dikembalikan dan dapat diatur ke nilai apa pun. Penyerang dapat memodifikasi parameter ini untuk mendapatkan sejumlah besar data dalam satu permintaan.

  • Saran: Tambahkan pembatasan pada parameter ini. Misalnya, berikan hanya beberapa opsi tetap alih-alih mengizinkan angka sembarang, untuk mencegah penyalahgunaan.

• Kueri database

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: Parameter permintaan untuk API ini berisi pernyataan kueri database. Penyerang dapat menggunakan API ini untuk menjalankan operasi database arbitrer, menyerang database, atau mencuri data penting.

  • Saran: Rancang ulang API untuk menghindari melewatkan pernyataan kueri database mentah dari klien. Implementasikan validasi dan penyaringan ketat pada semua parameter.

• Eksekusi perintah API

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: Parameter permintaan untuk API ini berisi perintah sistem. Penyerang dapat menggunakan API ini untuk menjalankan perintah sistem arbitrer, mengambil kendali server, atau mencuri data penting.

  • Saran: Rancang ulang API untuk menghindari melewatkan pernyataan perintah mentah dari klien. Implementasikan validasi dan penyaringan ketat pada semua parameter.

• Pengiriman pesan SMS arbitrer

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Parameter permintaan API pengiriman pesan SMS ini berisi nomor telepon dan isi pesan. Penyerang dapat menggunakan API ini untuk mengirim pesan jahat ke nomor telepon apa pun.

  • Saran: Rancang ulang API untuk menggunakan templat pesan tetap di backend alih-alih menerima konten arbitrer dari klien.

• Pengiriman konten email arbitrer

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Parameter permintaan API pengiriman email ini berisi alamat email dan isi email. Penyerang dapat menggunakan API ini untuk mengirim email jahat ke alamat email apa pun.

  • Saran: Rancang ulang API untuk menggunakan templat email tetap di backend alih-alih menerima konten arbitrer dari klien.

• Bocornya kode verifikasi SMS

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: Respons dari API pengiriman SMS ini tampaknya berisi kode verifikasi itu sendiri. Penyerang dapat menggunakan API ini untuk langsung mendapatkan kode verifikasi, mengabaikan pemeriksaan keamanan.

  • Saran: Jangan mengembalikan kode verifikasi ke klien. Proses verifikasi harus diselesaikan di backend.

• Bocornya kode verifikasi email

  • Tingkat risiko: Tinggi

  • Deskripsi risiko: Respons dari API pengiriman email ini tampaknya berisi kode verifikasi itu sendiri. Penyerang dapat menggunakan API ini untuk langsung mendapatkan kode verifikasi, mengabaikan pemeriksaan keamanan.

  • Saran: Jangan mengembalikan kode verifikasi ke klien. Proses verifikasi harus diselesaikan di backend.

• Unduhan file yang ditentukan

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Parameter permintaan untuk API unduhan file ini berisi jalur file. Penyerang dapat memodifikasi parameter ini untuk mengunduh file arbitrer dan mencuri data penting.

  • Saran: Rancang ulang API untuk mencegah unduhan menggunakan jalur file lengkap. Validasi dan filter secara ketat konten parameter untuk mencegah serangan penelusuran jalur.

• Informasi pengecualian aplikasi bocor

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Respons dari API ini berisi detail pengecualian aplikasi. Penyerang dapat menggunakan informasi ini untuk mempelajari konfigurasi aplikasi server dan detail sensitif lainnya.

  • Saran: Tingkatkan mekanisme penanganan pengecualian bisnis. Saat terjadi pengecualian, kembalikan pesan kesalahan umum atau arahkan ke halaman kesalahan standar alih-alih membocorkan detail pengecualian mentah.

• Informasi pengecualian database bocor

  • Tingkat risiko: Sedang

  • Deskripsi risiko: Tanggapan dari API ini berisi detail pengecualian database. Penyerang dapat menggunakan informasi ini untuk mempelajari pernyataan kueri database dan struktur tabel, memungkinkan serangan seperti injeksi SQL.

  • Saran: Optimalkan mekanisme penanganan pengecualian bisnis. Saat terjadi pengecualian, kembalikan pesan kesalahan umum atau arahkan ke halaman kesalahan standar alih-alih membocorkan detail pengecualian database mentah.

Kustom

Aturan deteksi risiko kustom

• Tingkat risiko: Tingkat kustom

• Deskripsi risiko: API ini cocok dengan aturan deteksi risiko kustom yang Anda konfigurasikan.

• Saran: Saran menampilkan konten yang Anda masukkan dalam konfigurasi kebijakan.

Pengecualian garis dasar

• Akses frekuensi tinggi yang tidak normal

  • Deskripsi peristiwa: Frekuensi akses jauh lebih tinggi daripada garis dasar harian untuk API ini, yang mungkin menunjukkan aktivitas berbahaya seperti penyalahgunaan API atau serangan CC.

  • Saran: Selidiki detail log untuk mengonfirmasi aktivitas tersebut. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Selain itu, konfigurasikan kebijakan pembatasan laju berdasarkan garis dasar laju harian API.

• Akses ke API internal dari alamat IP tidak biasa

  • Deskripsi peristiwa: Alamat IP sumber tidak sesuai dengan garis dasar distribusi IP akses harian API ini. Ini mungkin menunjukkan perilaku pemanggilan yang tidak biasa.

  • Saran: Selidiki detail log untuk mengonfirmasi aktivitas tersebut. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Anda juga dapat mengonfigurasi kebijakan daftar putih IP berdasarkan garis dasar distribusi IP harian API dan memblokir akses dari alamat IP lain untuk memastikan penggunaan API yang wajar.

• Akses ke API internal dari lokasi tidak biasa

  • Deskripsi peristiwa: Wilayah alamat IP tidak sesuai dengan garis dasar distribusi wilayah akses harian API ini, yang mungkin menunjukkan perilaku pemanggilan yang tidak biasa.

  • Saran: Periksa detail log untuk mengonfirmasi aktivitas tersebut. Untuk alamat IP yang mencurigakan, blokir dengan mengonfigurasi daftar hitam IP. Anda juga dapat menetapkan kebijakan daftar hitam lokasi berdasarkan garis dasar distribusi wilayah harian API guna memastikan penggunaan API yang wajar.

• Akses menggunakan alat tidak biasa

  • Deskripsi peristiwa: Alat yang digunakan untuk akses tidak sesuai dengan garis dasar distribusi alat akses harian API ini, yang mungkin menunjukkan panggilan anomali.

  • Saran: Selidiki detail log untuk mengonfirmasi aktivitas tersebut. Untuk alamat IP jahat yang terdeteksi, blokir dengan mengonfigurasi daftar hitam IP. Anda juga dapat mengonfigurasi kebijakan kontrol akses ACL atau mengaktifkan modul Manajemen Bot berdasarkan garis dasar distribusi alat akses harian API guna memastikan penggunaan API yang wajar.

• Akses selama periode waktu tidak biasa

  • Deskripsi peristiwa: API dipanggil pada periode waktu yang tidak biasa, yang dapat menandakan adanya panggilan anomali.

  • Saran: Periksa detail log untuk memverifikasi aktivitas tersebut. Untuk alamat IP yang teridentifikasi jahat, blokir dengan mengonfigurasi daftar hitam IP.

• Akses menggunakan nilai parameter abnormal

  • Deskripsi peristiwa: Format parameter permintaan tidak sesuai dengan karakteristik permintaan harian ke API ini, yang dapat menunjukkan pemanggilan anomali atau serangan.

  • Saran: Tinjau data permintaan sampel dan detail log untuk mengonfirmasi aktivitas. Untuk alamat IP yang jelas berbahaya, blokir dengan mengonfigurasi daftar hitam IP. Jika serangan Web dikonfirmasi, gunakan modul Perlindungan Web untuk melindungi API dan memastikan penggunaan sumber daya API yang wajar.

Risiko Akun

• Log masuk ke aplikasi internal menggunakan kata sandi lemah

  • Deskripsi peristiwa: Sebuah alamat IP dicurigai menggunakan kata sandi lemah untuk masuk ke aplikasi internal.

  • Saran: Periksa detail log untuk mengonfirmasi apakah log masuk berhasil. Untuk layanan akun, terapkan kebijakan kata sandi yang lebih kuat. Kata sandi yang kuat biasanya mencakup setidaknya tiga dari jenis karakter berikut: huruf besar, huruf kecil, digit, dan simbol, serta minimal 8 karakter. Untuk akun yang ada dengan kata sandi lemah, beri tahu pengguna untuk mengubah kata sandi mereka.

• Serangan brute-force terhadap nama pengguna

  • Deskripsi peristiwa: Sebuah alamat IP melakukan banyak upaya log masuk menggunakan kata sandi yang relatif tetap sambil terus mengubah nama pengguna. Ini menunjukkan serangan brute-force terhadap nama pengguna.

  • Saran: Periksa detail log untuk melihat apakah ada upaya yang berhasil. Ubah kata sandi secara berkala dan pastikan tidak ada kata sandi lemah yang digunakan. Untuk layanan log masuk, tambahkan kode verifikasi untuk membatasi upaya log masuk atau konfigurasikan kebijakan pembatasan laju untuk memastikan penggunaan API log masuk yang wajar.

• Serangan brute-force terhadap kata sandi

  • Deskripsi peristiwa: Sebuah alamat IP membuat banyak upaya log masuk untuk akun tertentu sambil mencoba banyak kata sandi berbeda. Ini dicurigai sebagai serangan brute-force terhadap kata sandi.

  • Saran: Periksa detail log untuk melihat apakah ada upaya yang berhasil. Ubah kata sandi secara berkala dan pastikan tidak ada kata sandi lemah yang digunakan. Untuk layanan log masuk, tambahkan kode verifikasi untuk membatasi upaya log masuk atau konfigurasikan kebijakan pembatasan laju untuk memastikan penggunaan API log masuk yang wajar.

• Serangan kamus

  • Deskripsi peristiwa: Sebuah alamat IP membuat banyak upaya log masuk menggunakan banyak nama pengguna dan kata sandi berbeda. Ini menunjukkan serangan kamus.

  • Saran: Periksa detail log untuk melihat apakah ada upaya yang berhasil. Ubah kata sandi secara berkala dan pastikan tidak ada kata sandi lemah yang digunakan. Untuk layanan log masuk, tambahkan kode verifikasi untuk membatasi upaya log masuk atau konfigurasikan kebijakan pembatasan laju untuk memastikan penggunaan API log masuk yang wajar.

• Serangan brute-force terhadap kode verifikasi SMS

  • Deskripsi peristiwa: Sebuah alamat IP membuat banyak upaya untuk memverifikasi kode verifikasi SMS menggunakan banyak kode berbeda. Ini dicurigai sebagai serangan brute-force terhadap kode verifikasi.

  • Saran: Selidiki aktivitas tersebut menggunakan detail log. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Anda juga dapat mengonfigurasi kebijakan pembatasan laju berdasarkan garis dasar distribusi laju harian API untuk memastikan penggunaan sumber daya API yang wajar.

• Serangan brute-force terhadap kode verifikasi email

  • Deskripsi peristiwa: Sebuah alamat IP membuat banyak upaya untuk memvalidasi kode verifikasi email menggunakan banyak kode berbeda. Ini dicurigai sebagai serangan brute-force terhadap kode verifikasi.

  • Saran: Selidiki aktivitas tersebut menggunakan detail log. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Anda juga dapat mengonfigurasi kebijakan pembatasan laju berdasarkan garis dasar distribusi laju harian API untuk memastikan penggunaan sumber daya API yang wajar.

• Pendaftaran batch

  • Deskripsi peristiwa: Sebuah alamat IP telah membuat sejumlah permintaan pendaftaran yang tidak biasa, yang menunjukkan aktivitas pendaftaran batch. Ini dapat menyebabkan banyak akun spam.

  • Saran: Selidiki aktivitas tersebut menggunakan detail log. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Anda juga dapat mengonfigurasi kebijakan pembatasan laju berdasarkan garis dasar distribusi laju harian API untuk memastikan penggunaan sumber daya API yang wajar.

Penyalahgunaan API

• Konsumsi sumber daya SMS secara jahat

  • Deskripsi peristiwa: Alamat IP melakukan beberapa permintaan untuk mengirim SMS. Hal ini menunjukkan konsumsi sumber daya SMS secara berbahaya atau penggunaan API untuk pembanjiran pesan, yang dapat menyebabkan kerugian bisnis.

  • Saran: Selidiki detail log untuk mengonfirmasi aktivitas. Untuk alamat IP yang jelas berbahaya, blokir dengan mengonfigurasi daftar hitam IP. Anda juga harus membatasi frekuensi pengiriman pesan teks ke satu nomor telepon dan mengonfigurasi kebijakan pembatasan laju berdasarkan garis dasar distribusi laju harian API untuk memastikan penggunaan sumber daya API yang wajar.

• Konsumsi sumber daya email secara jahat

  • Deskripsi peristiwa: Sebuah alamat IP membuat banyak permintaan untuk mengirim email, yang dicurigai sebagai upaya jahat untuk mengonsumsi sumber daya layanan email atau meluncurkan serangan email bombing. Hal ini dapat mempengaruhi stabilitas layanan email Anda.

  • Saran: Selidiki aktivitas tersebut menggunakan detail log. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Anda juga harus membatasi frekuensi pengiriman email ke satu kotak surat dan mengonfigurasi kebijakan pembatasan laju berdasarkan garis dasar distribusi laju harian API untuk memastikan penggunaan sumber daya API yang wajar.

• Unduhan batch

  • Deskripsi peristiwa: Sebuah alamat IP telah membuat sejumlah permintaan ekspor atau unduhan data yang tidak biasa, mendapatkan banyak file. Ini dapat menimbulkan risiko kebocoran data.

  • Saran: Selidiki aktivitas tersebut menggunakan detail log. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Anda juga dapat mengonfigurasi kebijakan pembatasan laju berdasarkan garis dasar distribusi laju harian API untuk memastikan penggunaan sumber daya API yang wajar.

• Pengumpulan data

  • Deskripsi peristiwa: Sebuah alamat IP memanggil API beberapa kali dengan nilai parameter yang melintasi, yang dicurigai sebagai upaya untuk mengumpulkan data API.

  • Saran: Selidiki aktivitas tersebut menggunakan detail log. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP. Tingkatkan keacakan parameter berdasarkan kebutuhan bisnis Anda. Hindari menggunakan nilai parameter yang sederhana dan mudah ditebak, seperti angka pendek.

• Serangan API

  • Deskripsi peristiwa: Alamat IP melancarkan serangan Web terhadap API. Semua serangan telah diblokir oleh modul pencegahan serangan web.

  • Saran: Analisis perilaku IP menggunakan detail log. Untuk alamat IP jahat yang jelas, blokir mereka dengan mengonfigurasi daftar hitam IP.

Insiden Kebocoran Data Sensitif

• Akses tidak sah ke data sensitif

  • Deskripsi peristiwa: Sebuah alamat IP dicurigai melakukan panggilan tidak sah ke API dan telah memperoleh data sensitif, yang dapat menimbulkan risiko kebocoran data.

  • Saran: Selidiki detail log untuk mengonfirmasi aktivitas tersebut. Untuk API penting, terapkan mekanisme otentikasi identitas yang ketat dan lengkap untuk mencegah penggunaan yang tidak sah atau eskalasi hak akses.

• Akses massal ke data sensitif

  • Deskripsi peristiwa: Sebuah alamat IP memanggil API dan memperoleh jumlah data sensitif yang tidak biasa, yang dapat menimbulkan risiko kebocoran data.

  • Saran: Selidiki detail log untuk mengonfirmasi aktivitas tersebut. Mask data sensitif penting jika memungkinkan dan hapus jenis data yang tidak perlu dari respons. Selain itu, konfigurasikan kebijakan pembatasan laju untuk API.

• Akses massal ke data sensitif oleh alamat IP di luar negara Anda

  • Deskripsi peristiwa: Alamat IP dari luar negara Anda memanggil API dan memperoleh beberapa data sensitif. Hal ini mungkin menimbulkan risiko pelanggaran data dan kepatuhan data.

  • Saran: Selidiki detail log untuk mengonfirmasi aktivitas tersebut. Transfer lintas batas data sensitif dapat menimbulkan risiko kepatuhan. Jika ada kebutuhan bisnis nyata untuk transfer ini, kami sarankan untuk melakukan penilaian dan menyelesaikan deklarasi atau pengajuan yang diperlukan.

Eksepsi Respons

• Pengembalian pesan kesalahan

  • Deskripsi peristiwa: Selama pemanggilan API, API mengembalikan pesan kesalahan yang tidak biasa, yang dapat membocorkan informasi penting seperti konfigurasi aplikasi.

  • Saran: Selidiki detail log untuk mengonfirmasi apakah API berfungsi normal. Optimalkan penanganan pengecualian aplikasi Anda untuk mengembalikan pesan kesalahan umum atau mengalihkan ke halaman tertentu, alih-alih mengembalikan detail pengecualian mentah.

• Pengembalian pesan kesalahan database

  • Deskripsi peristiwa: Selama pemanggilan API, API mengembalikan pesan kesalahan database, yang dapat membocorkan informasi penting seperti pernyataan kueri database dan nama tabel.

  • Saran: Selidiki detail log untuk mengonfirmasi apakah API berfungsi normal. Optimalkan penanganan pengecualian aplikasi Anda untuk mengembalikan pesan kesalahan umum atau mengalihkan ke halaman tertentu, alih-alih mengembalikan detail pengecualian mentah.

• Pengembalian informasi sistem sensitif

  • Deskripsi peristiwa: Selama pemanggilan API, API mengembalikan informasi server sensitif penting, menimbulkan risiko kebocoran data.

  • Saran: Selidiki detail log untuk mengonfirmasi apakah data yang dikembalikan sesuai dengan yang diharapkan. Hindari mengembalikan data tersebut langsung ke klien.

• Respons tidak normal

  • Deskripsi peristiwa: Selama serangkaian pemanggilan API, proporsi kode status HTTP abnormal dalam respons melebihi 80%, menunjukkan kemungkinan masalah dengan server asal.

  • Saran: Selidiki detail log dan periksa log server asal Anda untuk mengonfirmasi apakah API berfungsi dengan normal.

Peristiwa Kustom

Aturan peristiwa kustom

• Deskripsi peristiwa: Pemanggilan API dari alamat IP ini cocok dengan kebijakan deteksi peristiwa kustom yang Anda konfigurasikan.

• Saran: Saran menampilkan konten yang Anda masukkan dalam konfigurasi kebijakan.

Anomali Akun

• Akun diakses menggunakan alat anomali

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} menggunakan berbagai alat berbeda, seperti ${attack_client}, untuk mengakses layanan sebanyak total ${attack_cnt} kali. Hal ini menunjukkan serangan otomatis batch atau pengambilan data API.

  • Saran: Selidiki detail log untuk mengonfirmasi. Jika alat ilegal digunakan, batasi akses akun segera. Selain itu, konfigurasikan kebijakan daftar kontrol akses (ACL) atau aktifkan modul Manajemen Bot berdasarkan garis dasar distribusi alat akses harian API untuk memastikan penggunaan sumber daya bisnis yang tepat.

Kebocoran Data

• Akses anomali terhadap sejumlah besar data sensitif

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} memperoleh lebih dari ${data_count} data sensitif, seperti ${data_type}. Hal ini menunjukkan pengumpulan informasi sensitif dan menimbulkan risiko kebocoran data sensitif.

  • Saran: Selidiki detail log untuk mengonfirmasi. Jika tidak ada alasan bisnis yang valid, segera batasi akses akun dan perketat kuota serta izin akses data untuk akun tersebut. Selain itu, masking data sensitif penting yang ditransmisikan dalam bisnis Anda dan hapus jenis data yang tidak perlu.

• Akses lintas batas untuk memperoleh data sensitif

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} memulai akses dari luar Daratan Tiongkok, seperti ${location}, dan memperoleh lebih dari ${data_count} data sensitif, seperti ${data_type}. Hal ini menunjukkan pengambilan data berbahaya atau serangan eksternal dan menimbulkan risiko kebocoran data sensitif atau pelanggaran kepatuhan.

  • Saran: Selidiki detail log untuk mengonfirmasi. Transmisi lintas batas data sensitif mungkin menimbulkan risiko kepatuhan. Jika ada kebutuhan bisnis nyata, lakukan penilaian dan ajukan deklarasi atau catatan yang diperlukan.

• Pengunduhan banyak file secara anomali

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} mengunduh atau mengekspor banyak file melalui API seperti ${api_format}. Hal ini menimbulkan risiko kebocoran data.

  • Saran: Selidiki detail log untuk mengonfirmasi. Jika perilaku tersebut tidak sah, batasi frekuensi dan volume total unduhan. Tambahkan mekanisme otorisasi atau persetujuan untuk API pengunduhan file besar.

• Upaya memperoleh informasi sensitif pengguna lain

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} menggunakan nilai parameter ${param} yang berbeda untuk memperoleh data, seperti ${data_type}, dari beberapa pengguna berbeda melalui API seperti ${api_format}. Hal ini menunjukkan serangan eksploitasi privilese horizontal dan menimbulkan risiko kebocoran data pengguna.

  • Saran: Selidiki detail log, termasuk parameter permintaan, ID pengguna target, dan konteks izin, untuk mengonfirmasi. Jika peningkatan hak istimewa dikonfirmasi, segera batasi izin akses akun, perkuat logika verifikasi izin API, dan lakukan penilaian risiko serta tindakan terhadap akun yang terlibat.

• Traversing dan pengambilan data bisnis

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} melakukan traversing nilai parameter ${param} untuk memperoleh data melalui API seperti ${api_format}. Hal ini menunjukkan pengambilan data bisnis atau pengumpulan batch.

  • Saran: Selidiki detail log untuk mengonfirmasi. Jika ini adalah pengambilan otomatis, konfigurasikan kebijakan pembatasan laju dinamis berdasarkan distribusi garis dasar frekuensi harian API. Tambahkan perlindungan anti-traversing, seperti penandatanganan parameter atau CAPTCHA, ke API kritis.

Operasi Anomali

• Pemanggilan API frekuensi tinggi

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} sering memanggil API seperti ${api_format}. Hal ini menunjukkan serangan otomatis atau pengambilan API berbahaya dan menimbulkan risiko bisnis.

  • Saran: Selidiki detail log untuk mengonfirmasi. Konfigurasikan kebijakan pembatasan laju dinamis berdasarkan distribusi garis dasar frekuensi harian API untuk memastikan penggunaan sumber daya API yang tepat.

• Akses memicu beberapa tanggapan kesalahan abnormal

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, akun ${account} memicu beberapa kesalahan pengecualian aplikasi atau database selama akses. Hal ini menunjukkan probing berbahaya atau serangan.

  • Saran: Selidiki detail log untuk mengonfirmasi. Jika probing atau serangan terdeteksi, batasi akses akun. Selain itu, optimalkan mekanisme penanganan pengecualian bisnis. Saat terjadi pengecualian, kembalikan tanggapan terpadu atau alihkan ke halaman tertentu untuk menghindari kebocoran informasi aplikasi melalui pesan kesalahan langsung.

• Kode status akses abnormal

  • Deskripsi peristiwa: Model deteksi peristiwa keamanan API menemukan bahwa dari ${start_ts} hingga ${end_ts}, selama akses oleh akun ${account}, proporsi kode status tanggapan abnormal (4xx/5xx) melebihi ${except_rate}. Hal ini menunjukkan probing berbahaya atau serangan.

  • Saran: Selidiki detail log untuk mengonfirmasi. Jika probing atau serangan terdeteksi, batasi akses akun. Selain itu, pastikan bisnis beroperasi secara normal.