提供广泛医疗服务的医院内网环境通常具有大量的第三方集成接口，这些服务目前严重依赖各类API接口收集数据并展示在信息前台界面或直接面向患者。

目前，相较于外网环境，内网环境更封闭，所以较少医院重视生产环境中API存在的数据泄露风险，

常见的情况是终端与服务器边界防火墙南北向ACL策略和服务器与服务器之间东西向ACL策略的源目IP地址及端口的精细度较差，导致非授权用户可以在未得到允许的情况下随意访问其他第三方应用所提供的API接口。

当攻击者捕获内网某个API接口漏洞时，就可能会威胁到内网环境中所有应用的API接口。

即便是内网中存在审计类等设备，在完全可以追溯到安全事故责任人的情况下，数据泄露事件对公众产生的不良影响，涉事医院也难逃责任。

所以，医院需要在根本上解决所面临的API安全威胁，降低乃至杜绝不良事件发生的可能性。而解决医院API接口暴露问题，实际上是需要解决OWASP所提出的4个漏洞分类中的十大安全漏洞。

01 数据泄露

数据泄露一方面是因为某些软件开发厂商在没有采用基于白名单等防护机制进行适当过滤的情况下，为加快软件开发周期而自动绑定用户输入与内部对象或代码变量。

例如，HIS系统提供给辅诊系统读取操作员基本信息的接口，一般情况下通过API接口只能访问姓名（NAME）、工号（JOB_NUMBER）等基础字段。

但是由于上述绑定行为的存在，攻击者可能会首先通过阅读说明文档来评估当前API结构和对象继承关系，之后尝试猜测当前API的对象属性，查找批量分配和批量赋值（API6-2019）漏洞，在访问姓名、工号字段的同时，也一并可能对未公开的敏感对象属性管理员权限（IS_ADMIN）字段进行非法访问。

同时，攻击者亦可能采用注入攻击（API8-2019）方式成功提权并绕过安全检查直接篡改与经济、个人隐私等相关的敏感数据。

另一方面是因为一些开发人员依赖客户端自动过滤敏感信息功能，忽略对API接口响应，只包含合法的数据检查，未对敏感信息进行必要的加密。

故当攻击者使用嗅探流量抓包等一系列方式通过API接口抓取数据时，直接获取到敏感信息并返回给攻击者，造成过度的数据暴露（API3-2019）。

例如患者个人信息和病程手术记录等。这种数据泄露不仅会损害患者隐私权，还会严重影响医院的声誉。

02 身份验证问题

医院内网环境中API接口的身份验证机制很容易被攻击者绕过，攻击者可以利用这个漏洞冒充合法用户获取API接口的访问权限，然后利用API接口进行恶意操作，如删除、修改、篡改等。

出现身份验证攻击问题的常见原因有以下4点：

一是开发人员没有针对某个用户场景对查询对象的内容进行明确的权限精细划分。

例如，某个科研平台只需要对CT报告的数据进行分析，但实际上可以查询包括病理、超声等所有检查记录，这通常是失效的对象级别授权（API1-2019）；

二是对于对象的控制，主要指功能级的控制。

例如，限制第三方运维人员对HIS系统HTTPPOST的权限，但实际上开发人员没有做明确的权限限制，而是将GET,DELETE等权限都开放给运维人员，造成失效的功能级授权（API5-2019）；

三是因为开发人员习惯性使用常见默认密码或弱密码等原因，明文传输临时令牌（Token），给攻击者可乘之机，引发失效的用户身份认证（API2-2019）；

四是大部分API接口因为开发人员没有基本的安全意识而使用默认配置，导致基本安全性错误配置（API7-2019）。

03 拒绝服务攻击

开发人员在没有经过严格压力测试与试运行的情况下，盲目对API接口随意调整一个调用和载荷大小（API4-2019），攻击者便可以通过大量请求来消耗API接口服务端资源，导致服务端接近崩溃或无法正常工作，医院内网环境中的其他应用程序也会受到牵连，影响医院的正常运行。

04 资产日志管理不足

由于医院内网系统业务量多而复杂，可能存在监控资产管理不当（API9-2019），暴露在内网中未知的过时测试API、停用而未彻底下线处理的生产环境API，抑或第三方运维人员未授权私搭建API。

攻击者会捕捉这些不受控的API的非生产版本或测试版本，通过公开的漏洞攻击这些潜在的API威胁。攻击者得逞之后，大多也会因为日志和监控不足（API10-2019），无从追溯取证抓获攻击者。

点击「链接」，阅读全文

文章来源 | 汤其宇,陈昌杰,王士勇.医院网络环境中API接口的安全性问题与对策探讨[J].中国数字医学,2024,19(06):115-120.