API 攻击分析：黑客利用大量IP低频撞库登录API

近日，某互联网公司在使用永安在线API安全管控平台时捕获到一起账号撞库风险事件，攻击者使用大量动态代理秒拨IP对公司的某平台登录接口进行低频的撞库攻击。永安在线API安全团队及时响应此次风险事件，定位到了有缺陷的API，并提炼了此次风险事件的攻击特征，帮助该公司及时调整安全应对策略，避免了大规模的用户信息泄露。

事件分析

据了解，该公司的平台除了可以使用微信扫码、手机号验证码登录之外，仍保留基于账号和密码的登录方式。通过测试分析发现，该平台登录API已使用行为验证码进行人机校验，且支持基于IP的限频策略，但该登录API存在账号和密码明文传输的涉及缺陷，也正是这一缺陷以及平台账号的高价值诱导攻击者发起了此次攻击。

下面从多个角度来还原攻击情况：

1. 从攻击时间来看，攻击者主要集中在凌晨发起攻击。非工作时间往往比较难及时发现和响应异常行为，攻击者在该时间段发起攻击成功率会更大一些。

2. 从攻击者使用的账号和密码信息来看，此次攻击使用的账号/密码组均一一对应，没有出现账号对应多个密码或者一个密码对应多个账号的情况，密码也并非随机字符串、常用密码或常用密码字典等，由此排除暴力破解的可能。

通过分析发现，这些账号中大部分在该平台