最近《三體》火的一塌糊涂，動(dòng)畫片、電視劇和書都受到了大家的喜愛。在API安全上，最近也發(fā)現(xiàn)了三體攻擊。

當(dāng)然了，肯定是不來自于三體人的攻擊，這里的三體攻擊指的是（trinity，也稱三位一體攻擊），是一個(gè)新的攻擊手法。具體的情況老李也找到了相關(guān)的介紹，下面就分享給大家：

三體攻擊開始流行

2022年上半年，研究人員首次監(jiān)測到三體攻擊（trinity，也稱三位一體攻擊），該攻擊同時(shí)使用了OWASP列表中的三個(gè)TTP：中斷的用戶身份驗(yàn)證（API2）、過度數(shù)據(jù)泄露（API3）和不當(dāng)資產(chǎn)管理（API9）。雖然安全分析顯示這些攻擊只占監(jiān)測到的API攻擊數(shù)量（1億次）的一小部分，但三體攻擊數(shù)量在2022年全年保持穩(wěn)定，這至少證明該攻擊是有成效和回報(bào)的。

三體攻擊之所以強(qiáng)大，是因?yàn)楣粽咄瑫r(shí)使用多種攻擊TTP，打出更具威脅的“組合拳”。例如，攻擊者在憑據(jù)填充攻擊中會(huì)同時(shí)利用中斷的用戶身份驗(yàn)證（API2）與過度數(shù)據(jù)泄露（API3），從而通過API竊取大量個(gè)人數(shù)據(jù)。

至于不當(dāng)資產(chǎn)管理（API9），一個(gè)很好的例子是影子API（那些啟動(dòng)后被遺忘或忽視，實(shí)際上不可見的API）。此類API通常容易受到攻擊，因?yàn)樗鼈儾辉诎踩珗F(tuán)隊(duì)的雷達(dá)上。攻擊者可以在發(fā)起撞庫攻擊之前，使用已知的API模式輕松發(fā)現(xiàn)它們。

三體攻擊對于很多企業(yè)來說都是一個(gè)棘手的難題，因?yàn)檫@些企業(yè)缺乏攻擊面的可見性，無法清點(diǎn)他們的API并保持資產(chǎn)列表的更新，也不會(huì)監(jiān)控那些貌似合法的海量攻擊請求，因