某市社保局開放社保信息查詢API給市圖書館辦理圖書卡,圖書館開發人員利用API接口權限漏洞,獲取社保人員信息,謀取私利; 某市公安局開放身份證查詢API給市社保局做參保人員信息比對業務,市社保局開發人員利用API漏洞,通過循環調用該API,很快獲取了該市所有人員的身份證信息。
分析: 這類API沒有任何權限認證,知道接口規范的人員可以在任何時間、任何地點使用。
具有對API訂閱和調用進行實時監控的功能 包括統計API各版本的訂閱情況 各版本的調用次數 API的響應時間和最后訪問時間, API各個資源路徑的使用情況 錯誤請求等。
