API安全
登录认证手机验证码认证数据保存数据查询数据导出数据分享数据更新数据删除数据增加下线注销信息发送信息认证邮件信息发送邮箱验证码认证账号密码认证账号注册
API安全如何划分API业务用途?
常用监控指标
| 200 | 服务器已成功处理请求,返回了请求的数据。 | 初始化正常业务时,200状态码的告警监控阈值可以配置为90%,具体根据实际业务情况调整。 | 如果发现低于监控比例,需要分析比例下降的原因,例如是否因为其他错误状态码比例增加。 |
| request_time_msec | 客户端请求到返回结果的请求耗时。 | 按实际业务请求所需耗时,设置合适的超时告警监控阈值。 | 如果发现域名请求耗时较长,需要检查客户端-WAF-源站整体网路链路质量,并排查源站响应状态是否正常。 |
| upstream_response_time | 请求回源时,源站返回数据的响应时间。 | ||
| ssl_handshake_time | HTTPS协议请求时,客户端与WAF的SSL握手时间。 | ||
| status:302 and block_action:tmd/status:200 and block_action:tmd | 人机校验JS请求状态码,302表示触发默认策略,200表示触发自定义CC防护策略。 | 初始化时,建议配置5%~10%的告警阈值比例,后续运营期间可以根据业务拦截情况灵活调整。 |
|
| status:200 and block_action:antifraud | 被数据风控规则拦截。 | 测试可用后再上线,如弹出率过高,说明场景可能有问题,建议联系阿里云研发团队进行确认。 | |
| status:404 | 服务器找不到请求的资源。 | 查询触发告警的IP。
| |
| status:405 | 被Web应用防护规则或精准访问控制规则拦截。 | 通过全量日志分析拦截的规则、请求行为,判断是正常拦截还是误拦截。 | |
| status:444 | 被WAF CC自定义规则拦截。 |
| |
| status:499 | 客户端发起请求,服务端未返回数据,超过客户端设置的等待时间后,客户端主动断链,服务端返回给客户端该状态码。 |
| |
| status:500 | (Internal Server Error)服务器内部错误,无法完成请求。 | 建议检查源站处理资源负载、数据库等情况。 | |
| status:502 | (Bad Gateway)错误网关, 服务器作为网关或代理,从上游服务器收到无效响应。一般由于回源网络质量变差、回源链路有访问控制拦截回源请求导致源站无响应。 |
| |
| status:503 | (Service Unavailable)服务不可用,由于超载或停机维护,服务器目前无法使用。 | 建议检查源站是否异常。 | |
| status:504 | (Gateway Timeout)网关超时,服务器作为网关或代理,但是没有及时从上游服务器收到请求。 | 根据以下可能的原因进行排查:
|
API安全支持检测哪些API风险类型?
| 风险类型 | 说明 | ||||||||||||||||||||||||||||||||||||||||||||||
| 疑似内部接口暴露 | 内部接口(例如用于内部办公、开发测试、运营管理的接口)暴露在公网。 | ||||||||||||||||||||||||||||||||||||||||||||||
| 缺乏访问限速机制 | 接口在应对高频访问时,缺少安全防护机制,可能导致暴力破解、恶意爬虫等。 | ||||||||||||||||||||||||||||||||||||||||||||||
| 敏感数据过度暴露 | 接口暴露过多的敏感数据,可能导致大规模数据泄漏。 | ||||||||||||||||||||||||||||||||||||||||||||||
| 缺乏异常处理机制 | 检测到程序报错信息,可能存在SQL注入、泄漏应用配置等风险。 | ||||||||||||||||||||||||||||||||||||||||||||||
| 缺乏访问控制机制 | 接口对不符合日常基线的访问(例如异常地区访问)缺乏控制机制。 | ||||||||||||||||||||||||||||||||||||||||||||||
| 敏感数据接口缺乏鉴权机制 | 接口缺少鉴权机制,可以被未授权的访问者访问,用于获取敏感数据。 API安全支持检测哪些异常事件类型?
如何设置API安全_Web应用防火墙-阿里云帮助中心 API安全支持检测哪些敏感数据?
文章为作者独立观点,不代表股票交易接口观点 股民评论
|
