一个由“API未授权漏洞”引发的百万级敏感数据泄露

news2024/11/19 14:28:17

2023年4月的某一天,腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。

医院的专用APP是外部网络访问最高的,也就是最大的风险敞口,需要重点排查。

Leo下载APP进行测试后,发现该医院存在一个严重的问题,可能导致百万级敏感数据泄露……

他发现医院APP存在GraphQL接口,可通过其自省功能获取所有API接口。

GraphQL是目前最为流行的查询语言之一,它能够让API变得轻巧、灵活,而且对于开发人员十分友好且方便他们进行快速开发。

但是它也容易放过、甚至给应用程序服务器带来各种恶意的查询。并且随着API普遍被使用,针对它的攻击尝试也在迅速增加。这意味着开发人员和API生产者保证他们的GraphQL API 安全至关重要。

在接下来对接口进行请求、测试的过程中,Leo更是发现了大量无需鉴权即可访问的API,可以直接获取病患身份、就诊信息等大量敏感数据,高达百万级。

除信息展示接口之外,Leo还发现存在大量未鉴权的数据修改API,通过这些API可以任意登录他人账号、修改他人信息,甚至修改APP链接进而实现投毒攻击。

不可忽视的API安全

实际上,这并非个例,近年来Web应用数据泄露案例层出不穷。比如说7亿多Linkedln用户的数据泄露,并在暗网被售卖;Parler网站涉及1000万用户超过60T的数据泄漏;Clubhouse泄露130万条用户记录……

究其根因,其实就是——API不够安全。

在千行百业数字化转型的背景下,API成为了数字化体验的中心,APP、Web网站和小程序等应用的核心功能、微服务架构等均离不开API的支持。

不过,许多企业追求快速的API和应用程序交付,却并不了解自己拥有多少API,就更别提保证每个API都具备良好的访问控制策略,未知的僵尸API、未知的影子API、未知的敏感数据暴露等比比皆是。

腾讯云WAF-API助力企业管控敏感数据

如何帮助医院保障API安全,满足合规要求的同时防止敏感数据泄露呢?

治本求源,要想彻底收敛风险,首先需要深入了解医院存在大量敏感数据泄露风险的原因。随着智慧医疗的普及,医院和医疗机构越来越依赖于网络和Web应用程序来管理患者信息、诊断结果、药物处方等敏感数据。

而这些数据往往成为攻击者的目标,未经盘点的影子API、存在逻辑漏洞的API、未鉴权的API等,往往是攻击者窃取敏感数据的突破口。因此做好API 风险暴露面的识别与管控就是敏感数据的重中之重。

对症下药,腾讯安全专家为医院部署了腾讯云WAF-API安全,可以通过以下方式帮助医院有效管理API,防止敏感数据泄露:

1、资产全自动发现:腾讯云WAF-API安全能够实时分析业务访问流量,自动发现及识别业务流量中涉及的API资产及应用场景,帮助医院及时梳理并下线影子API、僵尸API,及时把控API暴露面,有效控制API暴露风险。

2、敏感数据防泄露:持续识别API暴露面信息,精准识别API中相关参数与类型,内置敏感数据识别规则,智能识别身份证、手机号等19种敏感参数信息,覆盖《个保法》提及的个人身份信息、财产信息、上网信息、位置信息等信息类型,防止敏感信息泄露,确保数据安全。

3、异常事件管控闭环:持续检测API存在的各类安全风险,覆盖登录动作异常、用户身份验证相关异常、API滥用、恶意调用接口消耗业务资源等类型风险事件,帮助医院分级分类处置风险,一键添加专家建议的处置规则,助力安全事件快速闭环,降低业务安全风险。  

4、实时流量分析报表:总览医院的API资产、风险数量及变化趋势,助力企业可视化管理API全生命周期防护,及时感知并处置威胁。

通过使用腾讯云WAF-API安全,医院可以大大降低敏感数据泄露的风险,保障患者信息和医疗数据的安全,同时提高医院网络和Web应用程序的整体安全性。

近日,腾讯安全重磅升级WAF-API安全能力,为了助力企业提升数字安全免疫力,即日起限时开放Web应用防火墙、API安全免费试用,高级版及以上版本客户,可以免费试用15天API安全模块。

 点击阅读链接,一键直达腾讯云WAF-API操作文档。

Web 应用防火墙 API 资产管理-操作指南-文档中心-腾讯云功能简介https://cloud.tencent.com/document/product/627/79101

- END -

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/537236.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

图像复原与重建MATLAB实验

文章目录 一、实验目的二、实验内容1. 噪声图像及其直方图。2. 空间噪声滤波器。3. 逆滤波。 一、实验目的 了解一些常用随机噪声的生成方法。掌握根据指定退化函数对图像进行退化的方法。掌握当模糊图像只存在噪声时的几种滤波复原方法。掌握当模糊图像同时存在线性退化和噪声…

学会搭建小程序生鲜商城,开启生鲜电商新模式

电商平台的出现,为人们带来了极大的便利。然而,传统的电商平台已经不能满足消费者对于购物体验的要求。如今,小程序生鲜商城因其轻量化、高效率等特点,成为了众多卖家的首选。本文将介绍如何学会搭建小程序生鲜商城,并…

二分特训上------刷题部分----Week4(附带LeetCode特训)

二分特训上------理论部分----Week4(附带LeetCode特训)_小杰312的博客-CSDN博客 如果需要理论,请移步上一篇. /***** 注意:我们把 0000001111111模型中:0称呼为左边区间,1称呼为右边区间 (答案第一个1在右区间) 1111…

浅谈Redis

一、Redis的简介 1.开源免费的缓存中间件,性能高,读可达110000次/s,写可达81000次/s。 2.redis的单线程讨论: V4.0之前:是单线程的,所有任务处理都在一个线程内完成. V4.0:引入多线程,异步线程用于处理一些耗…

机器学习基础学习之线性回归

文章目录 首先从**目标函数**开始梯度下降法结合两个公式,让目标函数梯度下降多项式回归,多重回归解决办法:随机梯度下降 首先从目标函数开始 假设下图反映了 投入多少广告费,产生了多少销售量的关系 图中每个点都是一个数据&a…

Spring Security

1、这是securityConfigpackage com.ruoyi.framework.config;import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.http.HttpMethod; import org.springframework.security.authe…

【JAVA】Java中方法的使用,理解方法重载和递归

目录 1.方法的概念及使用 1.1什么是方法 1.2方法的定义 1.3方法调用的执行过程 1.4实参和形参 2.方法重载 2.1为什么需要使用方法重载 2.2什么是方法重载 3.递归 3.1什么是递归 3.2递归执行的过程 3.3递归的使用 1.方法的概念及使用 1.1什么是方法 方法就是一个代…

消息队列:RabbitMQ

文章目录 消息队列(RabbitMQ)概念优势技术亮点可靠性灵活的路由集群联合高可用的队列多协议广泛的客户端可视化管理工具追踪插件系统 原理:AMQP 0-9-1 模型简介 消息队列(RabbitMQ) 概念 一种异步通信中间件 优势 消…

RHCSA 作业三

1. 2. [rootserver yum.repos.d]# mount /dev/sr0 /media mount: /media: /dev/sr0 已挂载于 /media. [rootserver yum.repos.d]# ls redhat.repo [rootserver yum.repos.d]# vim /etc/yum.repos.d/redhat.repo [rootserver yum.repos.d]# yum makecache 正在更新 Subscripti…

如何管理好团队的工时表?

工时表管理对所有团队来说都是一项具有挑战性的任务。它是确保每个团队成员高效工作并获得最大时间的关键工具。团队工时表是任何项目经理武器库中的一个重要工具。它们提供了对团队表现的宝贵见解。 一个成功的工时表管理系统对于希望最大限度提高生产力和利润的团队成员是必…

360+ChatGLM联手研发中国版“微软+OpenAI”

文章目录 前言360与智谱AI强强联合什么是智谱AI360智脑360GLM与360GPT大模型战略布局写在最后 前言 5月16日,三六零集团(下称“360”)与智谱AI宣布达成战略合作,双方共同研发的千亿级大模型“360GLM”已具备新一代认知智能通用模…

LLMs 诸神之战:LangChain ,以【奥德赛】之名

LLMs 一出,谁与争锋? 毫无疑问,大语言模型(LLM)掀起了新一轮的技术浪潮,成为全球各科技公司争相布局的领域。诚然,技术浪潮源起于 ChatGPT,不过要提及 LLMs 的技术发展的高潮&#x…

React的表单数据绑定

当我们在页面中使用表单提交数据时,react是如何拿取表单数据的呢 这里通过两种方式来实现 非受控组件实现 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" conte…

在Ubuntu 22.04 LTS Jammy Linux 系统上安装MySQL

在Ubuntu 22.04 LTS Jammy Linux 系统上安装MySQL 1. Update Apt Package Index2. Install MySQL Server & client on Ubuntu 22.043. To Check the version4. Run the Security script to secure MySQL5. Login Database Server as the root user6. Manage MySQL service7…

C-认识指针

认识指针 内容来自《深入理解C指针》 声明指针 在数据类型后面跟上星号*&#xff0c;如下的声明都是等价的 int* pi; int * pi; int *pi; int*pi;阅读声明 如下&#xff1a; const int *pci;1.pci是一个变量 const int *pci; 2.pci是一个指针变量 const int *pci; 3.pci是一…

FMC篇-SDRAM(IS42S16400J)

IS42S16400J 这个东西太常见啦&#xff0c;长方形的。不会过多解释&#xff0c;详细请阅读它的数据手册。 IS42S16400J是一种高速同步动态随机存储器(SDRAM)&#xff0c;64Mb的存储容量&#xff0c;采用4个bank&#xff0c;每个bank大小为16Mb&#xff0c;总线宽度为16位&…

eDiary-白日梦电子记事本基本使用说明【记事本导出和导入方法、本地数据迁移方法、记录工作日报、日历代办等】

文章目录 说明笔记导出与导入导出导入 本地数据迁移及备份本地备份说明恢复 记录工作日报记录今天发生美事等日历代办 说明 因为公司大佬分享资料&#xff0c;需要用到白日梦这个电子记事本&#xff0c;所以才了解到这个软件&#xff0c;体量小&#xff0c;功能高级&#xff0…

图数据库 NebulaGraph 的内存管理实践之 Memory Tracker

数据库的内存管理是数据库内核设计中的重要模块&#xff0c;内存的可度量、可管控是数据库稳定性的重要保障。同样的&#xff0c;内存管理对图数据库 NebulaGraph 也至关重要。 图数据库的多度关联查询特性&#xff0c;往往使图数据库执行层对内存的需求量巨大。本文主要介绍 …

Amazon 一周回顾 – 2022 年 7 月 18 日

上周&#xff0c;Amazon 峰会&#xff08;纽约&#xff09;在贾维茨中心线下举办&#xff0c;有数千名与会者以及 100 多家赞助商和合作伙伴参加。在主题演讲中&#xff0c;Amazon 首席开发人员倡导者 Martin Beeby 谈到了云基础设施的创新如何帮助客户适应挑战并抓住新的机遇。…