日前，泰雷兹已发布《2025年上半年API威胁报告》，并警示作为支撑应用程序、支付及登录功能的后台连接技术——API已成为网络罪犯分子的首要攻击目标。

在全球超过4000个受监控环境中，泰雷兹仅在2025年上半年就记录到超四万起API安全事件。尽管API在整个攻击面中占比仅为14%，但却吸引了44%的高级爬虫流量，显示攻击者正将最复杂的自动化攻击手段集中于支撑关键业务运营的API工作流上。

金融服务业遭遇创纪录的DDoS攻击

报告最引人注目的发现之一是针对某金融服务API发起的应用层DDoS攻击，规模高达每秒1500万次请求（RPS），突破以往记录。

与旨在消耗网络带宽的传统容量耗尽型DDoS攻击不同，此类攻击直接瞄准应用层——利用API本身来耗尽目标资源，进而中断业务运营。2025年上半年，在所有针对API的DDoS攻击中，有27%的流量集中袭击金融服务行业，这反映出该行业在处理余额查询、转账和支付授权等实时交易中对API的高度依赖。

这些事件表明，攻击者正将规模性攻击与隐蔽性手段相结合——利用大规模僵尸网络和无头浏览器伪装成合法的API请求，使得防御者更难区分恶意流量与真实用户流量。

报告要点：

2025年上半年共记录API安全事件超四万起，平均每日超过220起；若该趋势延续，预计全年将突破八万起。

按攻击端点分布：37%针对数据访问类API，32%针对结算/支付，16%针对身份验证，5%针对礼品卡/优惠验证，3%针对影子或错误配置端点。

对于未部署自适应多因素认证（MFA）的API，撞库和账户接管类攻击上升40%。

数据爬取占API爬虫流量的31%，多集中于电子邮件地址、支付详情等高价值字段。

优惠券欺诈和支付欺诈占攻击总数的26%，主要利用优惠活动漏洞和薄弱的结账验证机制。

远程代码执行（RCE）试探占攻击总数的13%，其中Log4j、Oracle WebLogic和Joomla是最常被攻击的漏洞。

从行业分布来看，金融服务业遭受的攻击居首（27%），其次是电信和互联网服务提供商（10%）、旅游业（14%），以及文娱艺术业（13%）。

影子API仍为关键安全盲区：企业通常存在比其已知高出10-20%的活跃API。

泰雷兹应用安全产品副总裁Tim Chang表示：“API是数字经济的‘连接纽带’，但这也使其成为最受攻击者青睐的目标。我们观察到，当前的网络攻击不仅规模扩大，犯罪手法也发生根本性转变：攻击者无需注入恶意软件，只需篡改企业自身的业务逻辑便可发起攻击。这些请求看似合法，但后果可能极其严重。”

“未来六个月，API攻击的规模和复杂程度只会继续攀升。采取行动的最佳时机是昨天，其次是现在。企业若想保障收入、维护客户信任并确保合规运营，就必须清点所有活跃端点、明确其商业价值，并部署具有环境感知能力的自适应防御策略。”

研究方法

《泰雷兹2025年上半年API威胁报告》基于泰雷兹对全球4000多个Imperva客户环境的真实攻击遥测数据编制。数据采集周期为2025年1月至7月，包括：

4万余起API安全事件，涉及金融服务、电信、旅游、医疗保健和电子商务等行业。

爬虫遥测与指纹识别，用于分析攻击者如何通过高级自动化手段攻击 Web 端与移动端 API。

终端行为分析，包括流量规模、异常行为和表明滥用的隐蔽模式。

CVE漏洞利用追踪，重点关注Log4j、Oracle WebLogic及Joomla等持续性漏洞。

DDoS攻击取证，重点分析针对某金融服务API发起的、规模高达每秒1500万次请求的史无前例的洪流攻击。

泰雷兹威胁研究团队综合运用行为分析、机器学习及取证分析等方法，对攻击事件进行分类，并映射其攻击目标端点，从而识别各行业的攻击趋势。尽管数据集基于Imperva的客户情况，但其仍能为全球范围内API滥用态势提供了可靠且具有代表性的视角。

编者注 — 术语表：

1.应用程序接口（API）：用于连接两个或多个应用程序的代码，支持应用间的数据共享。例如，某移动应用可通过API调用社交媒体账号信息，允许用户使用其社交媒体账户信息登录。

2.优惠券：在结账时为顾客提供折扣、促销或特别优惠的数字或实体代码。

3.撞库：网络罪犯分子在暗网购买用户名/密码对列表后，利用爬虫程序在其他账户的登录页面反复尝试，以验证这些凭证是否可用。

4.数据爬取：从网站或Web应用中提取数据的行为，常用于价格操纵等恶意目的。

分布式拒绝服务（DDoS）攻击：通过海量流量淹没目标站点，使其无法访问。该类攻击通常使用爬5.虫网络（也称僵尸网络）——由攻击者接管并控制的、具备互联网访问能力的自动化程序或物理计算设备组成的网络，以自动化手段实施攻击。

6.终端：接入网络系统的物理设备，例如智能手机、笔记本电脑、嵌入式设备、传感器或服务器等。

7.无头浏览器：不具备图形界面的网页浏览器，常被攻击者用于自动化操作和模拟真实用户行为。

8.远程代码执行：一种安全漏洞，允许攻击者通过公共或私有网络连接到远程机器并在其上运行自定义代码，从而窃取敏感数据和应用程序访问权、重定向流量或发起其他攻击。

9.影子API：也称为“未记录的API”，是指在官方监控渠道之外，于组织内部存在并运行的API。