最近《三体》火的一塌糊涂，动画片、电视剧和书都受到了大家的喜爱。在API安全上，最近也发现了三体攻击。

当然了，肯定是不来自于三体人的攻击，这里的三体攻击指的是（trinity，也称三位一体攻击），是一个新的攻击手法。具体的情况老李也找到了相关的介绍，下面就分享给大家：

三体攻击开始流行

2022年上半年，研究人员首次监测到三体攻击（trinity，也称三位一体攻击），该攻击同时使用了OWASP列表中的三个TTP：中断的用户身份验证（API2）、过度数据泄露（API3）和不当资产管理（API9）。虽然安全分析显示这些攻击只占监测到的API攻击数量（1亿次）的一小部分，但三体攻击数量在2022年全年保持稳定，这至少证明该攻击是有成效和回报的。

三体攻击之所以强大，是因为攻击者同时使用多种攻击TTP，打出更具威胁的“组合拳”。例如，攻击者在凭据填充攻击中会同时利用中断的用户身份验证（API2）与过度数据泄露（API3），从而通过API窃取大量个人数据。

至于不当资产管理（API9），一个很好的例子是影子API（那些启动后被遗忘或忽视，实际上不可见的API）。此类API通常容易受到攻击，因为它们不在安全团队的雷达上。攻击者可以在发起撞库攻击之前，使用已知的API模式轻松发现它们。

三体攻击对于很多企业来说都是一个棘手的难题，因为这些企业缺乏攻击面的可见性，无法清点他们的API并保持资产列表的更新，也不会监控那些貌似合法的海量攻击请求，因