最近《三体》火的一塌糊涂,动画片、电视剧和书都受到了大家的喜爱。在API安全上,最近也发现了三体攻击。
当然了,肯定是不来自于三体人的攻击,这里的三体攻击指的是(trinity,也称三位一体攻击),是一个新的攻击手法。具体的情况老李也找到了相关的介绍,下面就分享给大家:
三体攻击开始流行
2022年上半年,研究人员首次监测到三体攻击(trinity,也称三位一体攻击),该攻击同时使用了OWASP列表中的三个TTP:中断的用户身份验证(API2)、过度数据泄露(API3)和不当资产管理(API9)。虽然安全分析显示这些攻击只占监测到的API攻击数量(1亿次)的一小部分,但三体攻击数量在2022年全年保持稳定,这至少证明该攻击是有成效和回报的。
三体攻击之所以强大,是因为攻击者同时使用多种攻击TTP,打出更具威胁的“组合拳”。例如,攻击者在凭据填充攻击中会同时利用中断的用户身份验证(API2)与过度数据泄露(API3),从而通过API窃取大量个人数据。
至于不当资产管理(API9),一个很好的例子是影子API(那些启动后被遗忘或忽视,实际上不可见的API)。此类API通常容易受到攻击,因为它们不在安全团队的雷达上。攻击者可以在发起撞库攻击之前,使用已知的API模式轻松发现它们。
三体攻击对于很多企业来说都是一个棘手的难题,因为这些企业缺乏攻击面的可见性,无法清点他们的API并保持资产列表的更新,也不会监控那些貌似合法的海量攻击请求,因