敏感數(shù)據(jù)級別

敏感數(shù)據(jù)類型

非敏感數(shù)據(jù)（N）

不涉及。

特級敏感數(shù)據(jù)（L0）

與一級敏感數(shù)據(jù)（L1）或二級敏感數(shù)據(jù)（L2）相同。

• 單次響應(yīng)中一級敏感數(shù)據(jù)（L1）較多時，升級為特級敏感數(shù)據(jù)（L0）。

• 單次響應(yīng)中二級敏感數(shù)據(jù)（L2）較多時，升級為一級敏感數(shù)據(jù)（L1）或特級敏感數(shù)據(jù)（L0）。

一級敏感數(shù)據(jù)（L1）

身份證、儲蓄卡、手機號、護照號、港澳通行證、車牌號、軍官證、身份證（中國香港）、身份證（馬來西亞）、身份證（新加坡）、信用卡、SSN、JDBC連接串、PEM證書、KEY私鑰、Linux-Passwd文件、Linux-Shadow文件。

二級敏感數(shù)據(jù)（L2）

姓名（簡體中文）、地址（中國內(nèi)地）、郵箱、電話號碼（中國內(nèi)地）、姓名（中文繁體）、姓名（英文）、電話號碼-美國、宗教信仰、IP地址、MAC地址、IPv6地址、GPS位置、IMEI、營業(yè)執(zhí)照號碼、稅務(wù)登記證號碼、組織機構(gòu)代碼、統(tǒng)一社會信用代碼、車輛識別代碼。

三級敏感數(shù)據(jù)（L3）

性別、民族、省份（中國內(nèi)地）、城市（中國內(nèi)地）、未校驗的身份證號、SwiftCode、日期、URL鏈接。

風險類型

說明

疑似內(nèi)部接口暴露

內(nèi)部接口（例如用于內(nèi)部辦公、開發(fā)測試、運營管理的接口）暴露在公網(wǎng)。

缺乏訪問限速機制

接口在應(yīng)對高頻訪問時，缺少安全防護機制，可能導致暴力破解、惡意爬蟲等。

敏感數(shù)據(jù)過度暴露

接口暴露過多的敏感數(shù)據(jù)，可能導致大規(guī)模數(shù)據(jù)泄漏。

缺乏異常處理機制

檢測到程序報錯信息，可能存在SQL注入、泄漏應(yīng)用配置等風險。

缺乏訪問控制機制

接口對不符合日?；€的訪問（例如異常地區(qū)訪問）缺乏控制機制。

敏感數(shù)據(jù)接口缺乏鑒權(quán)機制

接口缺少鑒權(quán)機制，可以被未授權(quán)的訪問者訪問，用于獲取敏感數(shù)據(jù)。

事件類型

說明

來自異常地區(qū)的接口調(diào)用

例如，日常訪問該接口的請求集中在北京地區(qū)，某天發(fā)現(xiàn)來自美國的請求調(diào)用了該接口。

來自異常源IP的接口調(diào)用

例如，日常訪問該接口的IP集中在192.0.XX.XX，某天發(fā)現(xiàn)192.1.XX.XX調(diào)用了該接口。

來自異常終端的接口調(diào)用

例如，日常訪問該接口的客戶端主要是瀏覽器，某天發(fā)現(xiàn)有請求通過Python腳本調(diào)用了該接口。

來自異常時段的接口調(diào)用

例如，日常訪問該接口的請求活躍時間集中在09:00~17:00，某天發(fā)現(xiàn)有請求在03:00調(diào)用了該接口。

針對登錄接口的暴力破解

有攻擊者暴力破解了賬號密碼。

針對登錄接口的撞庫攻擊

有攻擊者批量登錄，試圖撞庫。

未授權(quán)訪問獲取敏感信息

有調(diào)用者在未授權(quán)的情況下，訪問接口獲取了敏感數(shù)據(jù)。

過多的敏感數(shù)據(jù)獲取

某調(diào)用者通過該接口獲取了大量的敏感數(shù)據(jù)。

異常的批量注冊行為

該接口上發(fā)生了大量賬號注冊行為，疑似垃圾注冊。

異常的批量導出行為

該接口上發(fā)生了大量下載或?qū)С鑫募男袨椤?/p>

異常的高頻訪問行為

該接口被調(diào)用的頻率遠高于正常頻率。

驗證碼暴力破解

該接口上發(fā)生了暴力破解驗證碼的行為。

短信接口資源濫用

短信發(fā)送接口被高頻調(diào)用，導致短信資源被惡意消耗。

郵箱接口資源濫用

郵件發(fā)送接口被高頻調(diào)用，可能遭受了郵件炸彈攻擊。

遍歷爬取接口數(shù)據(jù)

該接口上發(fā)生了遍歷某個參數(shù)，高頻爬取接口數(shù)據(jù)的行為。

不符合規(guī)范的接口調(diào)用

調(diào)用請求中的某個參數(shù)不符合接口參數(shù)規(guī)范，例如，正常情況下參數(shù)A是整數(shù)格式，但發(fā)現(xiàn)調(diào)用請求中的參數(shù)A使用了字符串格式。文章來源地址http://www.zghlxwxcb.cn/news/detail-422748.html

• 如果達到告警閾值，建議分析是否受到CC攻擊，根據(jù)攻擊情況設(shè)置自定義規(guī)則。
• 檢查服務(wù)器是否出現(xiàn)異常，如大量的5xx狀態(tài)碼、4xx狀態(tài)碼。

• 如果是個例，則可能存在惡意用戶遍歷服務(wù)器資源。
• 如果是普遍存在，則需要確認服務(wù)器是否正?；蛘呤欠裼形募G失。

• 如果達到告警閾值，建議分析是否受到CC攻擊，根據(jù)攻擊情況設(shè)置自定義規(guī)則。
• 如果不是攻擊，而是API調(diào)用，則需要判斷是否需要調(diào)整閾值或者單獨放行固定服務(wù)器的調(diào)用。

• 檢查源站是否異常，如響應(yīng)緩慢，數(shù)據(jù)庫存在大量慢查詢。
• 存在攻擊將源站資源占滿。

• 建議檢查回源網(wǎng)絡(luò)鏈路、回源鏈路中間的訪問控制策略、源站處理資源負載、數(shù)據(jù)庫等情況。
• 檢查源站是否攔截了WAF回源IP的請求。

• 服務(wù)器無法響應(yīng)，負載過高。
• 源站丟棄請求沒有reset。
• 協(xié)議通訊不成功。