API安全模塊為您提供下表描述的功能。

通過單擊以下問題，了解更多關于API安全的能力介紹：

• API安全如何劃分API業務用途？

  • 登錄認證

  • 手機驗證碼認證

  • 數據保存

  • 數據查詢

  • 數據導出

  • 數據分享

  • 數據更新

  • 數據刪除

  • 數據增加

  • 下線注銷

  • 信息發送

  • 信息認證

  • 郵件信息發送

  • 郵箱驗證碼認證

  • 賬號密碼認證

  • 賬號注冊

• API安全支持檢測哪些敏感數據？

  敏感數據級別	敏感數據類型
  非敏感數據（N）	不涉及。
  特級敏感數據（L0）	與一級敏感數據（L1）或二級敏感數據（L2）相同。 單次響應中一級敏感數據（L1）較多時，升級為特級敏感數據（L0）。 單次響應中二級敏感數據（L2）較多時，升級為一級敏感數據（L1）或特級敏感數據（L0）。
  一級敏感數據（L1）	身份證、儲蓄卡、手機號、護照號、港澳通行證、車牌號、軍官證、身份證（中國香港）、身份證（馬來西亞）、身份證（新加坡）、信用卡、SSN、JDBC連接串、PEM證書、KEY私鑰、Linux-Passwd文件、Linux-Shadow文件。
  二級敏感數據（L2）	姓名（簡體中文）、地址（中國內地）、郵箱、電話號碼（中國內地）、姓名（中文繁體）、姓名（英文）、電話號碼-美國、宗教信仰、IP地址、MAC地址、IPv6地址、GPS位置、IMEI、營業執照號碼、稅務登記證號碼、組織機構代碼、統一社會信用代碼、車輛識別代碼。
  三級敏感數據（L3）	性別、民族、省份（中國內地）、城市（中國內地）、未校驗的身份證號、SwiftCode、日期、URL鏈接。

• API安全支持檢測哪些API風險類型？

  風險類型	說明
  疑似內部接口暴露	內部接口（例如，用于內部辦公、開發測試、運營管理的接口）暴露在公網。
  缺乏訪問限速機制	接口在應對高頻訪問時，缺少安全防護機制，可能導致暴力破解、惡意爬蟲等。
  敏感數據過度暴露	接口暴露過多的敏感數據，可能導致大規模數據泄漏。
  缺乏異常處理機制	檢測到程序報錯信息，可能存在SQL注入、泄漏應用配置等風險。
  缺乏訪問控制機制	接口對不符合日常基線的訪問（例如，異常地區訪問）缺乏控制機制。
  敏感數據接口缺乏鑒權機制	接口缺少鑒權機制，可以被未授權的訪問者訪問，用于獲取敏感數據。

• API安全支持檢測哪些異常事件類型？

  事件類型	說明
  來自異常地區的接口調用	例如，日常訪問該接口的請求集中在北京地區，某天發現來自美國的請求調用了該接口。
  來自異常源IP的接口調用	例如，日常訪問該接口的IP集中在192.0.XX.XX，某天發現192.1.XX.XX調用了該接口。
  來自異常終端的接口調用	例如，日常訪問該接口的客戶端主要是瀏覽器，某天發現有請求通過Python腳本調用了該接口。
  來自異常時段的接口調用	例如，日常訪問該接口的請求活躍時間集中在09:00~17:00，某天發現有請求在03:00調用了該接口。
  針對登錄接口的暴力破解	有攻擊者暴力破解了賬號密碼。
  針對登錄接口的撞庫攻擊	有攻擊者批量登錄，試圖撞庫。
  未授權訪問獲取敏感信息	有調用者在未授權的情況下，訪問接口獲取了敏感數據。
  過多的敏感數據獲取	某調用者通過該接口獲取了大量的敏感數據。
  異常的批量注冊行為	該接口上發生了大量賬號注冊行為，疑似垃圾注冊。
  異常的批量導出行為	該接口上發生了大量下載或導出文件的行為。
  異常的高頻訪問行為	該接口被調用的頻率遠高于正常頻率。
  驗證碼暴力破解	該接口上發生了暴力破解驗證碼的行為。
  短信接口資源濫用	短信發送接口被高頻調用，導致短信資源被惡意消耗。
  郵箱接口資源濫用	郵件發送接口被高頻調用，可能遭受了郵件炸彈攻擊。
  遍歷爬取接口數據	該接口上發生了遍歷某個參數，高頻爬取接口數據的行為。
  不符合規范的接口調用	調用請求中的某個參數不符合接口參數規范，例如，正常情況下參數A是整數格式，但發現調用請求中的參數A使用了字符串格式。