weixin_41829439的博客

近日，某互联网公司在使用永安在线API安全管控平台时捕获到一起账号撞库风险事件，攻击者使用大量动态代理秒拨IP对公司的某平台登录接口进行低频的撞库攻击。永安在线API安全团队及时响应此次风险事件，定位到了有缺陷的API，并提炼了此次风险事件的攻击特征，帮助该公司及时调整安全应对策略，避免了大规模的用户信息泄露。事件分析据了解，该公司的平台除了可以使用微信扫码、手机号验证码登录之外，仍保留基于账号和密码的登录方式。通过测试分析发现，该平台登录API已使用行为验证码进行人机校验，且支持基于IP的限频

2021年12月3日，首届API安全管理论坛在深圳举办。在此次论坛上，永安在线介绍了API安全管理的挑战和治理理念，并发布了以永安在线核心技术优势——行业领先的【情报】打造的产品：API安全管控平台。数字化进程不断加快，API在应用环境中变得越来越普遍。有调查显示，API请求已占所有应用请求的83%。而API作为连接服务和传输数据的重要通道，它的广泛应用及针对性安全策略的缺失也为企业带来越发严重的数据安全问题，甚至已成为数据泄露的最大敞口。随着企业在整个研发过程中越来越强调敏

12月3日，由永安在线主办的首届API安全管理论坛在深圳成功举办众多安全领域技术专家以及企业信息安全决策与实践者齐聚一堂，围绕数字化时代下API面临的挑战及如何进行API安全管理进行了分享与探讨，论坛现场座无虚席，精彩观点不断。对API的保护本质上就是对数据安全的保护API 在现代应用程序架构中发挥着非常重要的作用，当创新发展和安全意识发展的不同步发生时，带来的安全风险将加大，目前API面临的十大关键安全风险是哪些？在论坛伊始，OWASP中国广东区域负责人肖文棣以OWASP API

近年来，API作为在移动互联网时代中连接数据和应用的重要通道，承载着越来越复杂的应用程序逻辑和越来越多的敏感数据。正因如此，API也成为黑产的重点攻击目标，API遭受攻击的事件屡见不鲜并影响巨大。这也让企业越来越意识到需加强API的安全管控来防控风险发生。但目前企业对如何采用正确的路径来搭建API安全防护体系，仍然存在不少误区。在长期对企业业务安全跟踪研究中，我们发现导致企业在API 安全性方面遭遇问题的主要原因有三个。无论你的企业目前的API防护处在哪个阶段，都需要去了解这些原因才能避免API安全

2021年9月26日-27日，CCS 2021成都网络安全大会在成都举行。大会围绕“安全新环境·安全新生态”主题，邀请了安全行业专家、学术专家、高校代表、顶级互联网企业嘉宾等共同探讨新基建和数字时代下面临的安全挑战。永安在线携业务反欺诈及API数据安全系列产品和方案亮相大会，同时，CTO邓欣发表了题为《新趋势下的攻防难点》的演讲。邓欣表示，在数字化浪潮下，攻防平面已然产生变化却缺乏有效的防护方案，致使黑灰产攻击激增、数据泄露事件频发……企业迎来更严峻的安全挑战，作为防守方只有洞察并适应不断变化的趋势

今天，我国第一部有关数据安全的法律——《数据安全法》正式开始施行。这意味着在法案中对于数据处理活动、安全保护、开发利用提出的合规要求，从今天起必须全部遵循，跨越“红线”将违法必究、按法处罚！数据安全，是个老生常谈却历久弥新的话题，原因在于数据作为一种新的生产要素类型，被写入正式的中央文件中，与土地、劳动力、资本、技术等其他生产要素并驾齐驱。这无疑说明了数据的重要性，也意味着对于加强数据资源整合与安全保护必须提升到更高的层次。那如何加强对数据资源的安全保护呢？在搭建保护防控体系之前，先来了解下

不久前，微信大力打击“私域流量”事件在网络引起不小的轰动。有传言说微信一夜之间封禁了3000万的用户。不过，微信很快发布了官方声明证实这并非真实数据，但清理使用外挂的违规账号是真的。目的是为了打击微信存在的比较严重的恶意营销的问题。微信表示上半年处理的黑灰产账号数量已达上百万，看起来这似乎是一个很庞大的数据，但真正挖掘起来，或许只是冰山一角。根据威胁猎人监测到的数据，微信的恶意注册量日均可达1...

“撞库”是安全领域经常发生的一种黑产攻击事件。在常见的安全防护中，安全团队通常会在登陆接口设置安全策略来应对攻击。可是，一旦黑产更换攻击规则，就会导致策略失效。在这样的情况下，我们需要的就不仅仅的表层的“防火墙”，而是一套完整的业务风控系统，它可以有效的规避风险，降低损失。在这篇文章中，我们将介绍如何利用开源风控系统TH-Nebule（星云）防止“撞库”攻击。文章会从“撞库”的介绍逐渐...