应用程序编程接口 (api) 在 Web 和移动应用程序开发中发挥着关键作用,企业现在严重依赖它们来构建他们的产品和服务。这并不奇怪,因为 API 允许开发人员与任何现代技术集成,从而提供客户所需的功能。,,RapidAPI 调查 显示,API 的采用率有所提高,各行各业的公司都在优先考虑参与 API 经济——“在大流行期间,许多公司迅速加快了数字化转型之旅。因此,他们对软件开发,特别是 API 经济的投资继续增加是有道理的,” RapidAPI 首席执行官 Iddo Gino 说。,这个闸门打开了更广泛的攻击面并增加了 API 攻击的风险——使API 安全成为重中之重。那么,什么是 API 安全性以及我们为什么需要 API 保护?,API 安全涉及实施策略和程序以减轻 API(应用程序编程接口)的漏洞和安全威胁。,它位于三个广泛的安全领域的交汇处:,API 安全还处理安全问题,包括内容验证、访问控制、速率限制、监控和分析、节流、数据安全和基于身份的安全。随着敏感数据通过 API 传输,安全的 API 可以保证其处理的消息的机密性,方法是让具有适当使用权限的应用程序、用户和服务器可以使用它。同样,它还通过确保消息在传输后未被更改来保证内容完整性。,随着网络犯罪分子继续利用易受攻击的技术、流程和人员,他们现在正在将攻击转移到“传统”目标之外。随着 API 在外部应用程序、物联网和移动应用程序之上扩展到微服务和云,攻击者现在将他们的操作重点放在 API 上。API 已成为新的攻击前沿,这些统计数据也强调了这一点:,按照设计,应用程序编程接口并非不安全,但是,部署的大量 API 给安全团队带来了挑战。此外,API 开发技能不足以及未能整合 Web 和云 API 安全规则可能会导致 API 易受攻击。可以在各个领域观察到 API 漏洞,例如数据暴露、拒绝服务、授权缺陷、安全错误配置、端点(虚拟环境、设备、服务器等)。,易受攻击的 API 会引发重大漏洞。它们很容易被利用,并让黑客可以访问敏感的医疗、财务和个人数据。由于暴露于不安全的 API,我们已经在几家知名公司看到了各种违规行为。Salesforce、T-Mobile、SolarWinds、Peloton 和 USPS 等等。,同样,攻击者可以使用各种其他技术来滥用 API。如果 API 未得到适当保护,以下是一些可能发生的攻击:,
1. 中间人攻击(MITM),当消息传输未签名或加密或安全会话设置存在问题时,API 容易受到中间人攻击。如果 API 不使用 SSL/TLS,则 API 和客户端之间的所有消息传输都可能受到损害。攻击者可以更改机密数据,例如会话标识符、个人身份信息等。如果配置不当或客户端未验证安全会话,即使使用 SSL/TLS 加密的 API 也会面临风险。如果攻击者捕获会话令牌,他们可以获得对包含大量个人和敏感信息的用户帐户的访问权限。,
2. 注入攻击,当 API 开发人员没有仔细地将输入限制为预期类型时,可能会发生 API 注入攻击。在这种攻击中,黑客通过 API 请求将脚本发送到应用程序服务器以获取对软件的访问权限。,
3. 被盗认证攻击,与注入攻击一样,企业也应该关注允许攻击者直接访问其客户记录和数据的漏洞。配置了不正确的身份验证机制的 API 很容易受到这种攻击,并使黑客能够劫持用户的身份和 API 的访问控制。黑客还可以尝试暴力攻击来破坏弱身份验证过程。,
4. DDoS(分布式拒绝服务)攻击,API 端点是 DDoS 的新攻击媒介。攻击者将机器人指向 API,并在一定时间内在端点发出一系列高频请求。请求的容忍度超过了目标的响应能力,导致合法用户无法访问。边缘保护和带有 WAAP (Web 应用程序和 API 保护)的 Web 应用程序防火墙是针对 DDoS 攻击的 API 保护的正确选择。,对于需要比传统技术提供更好的资源和工具来发现 API 漏洞和执行安全扫描的企业而言,API 保护目前是一个挑战。他们还需要积累合适的人才,以便在攻击者之前检测 API 安全风险。,Indusface Apptrana 是一种基于风险的 WAAP,它 使用签名识别、以安全为中心的监控、SSL 和 TLS 证书以及其他安全方法来阻止 API 滥用的企图。,API 攻击有多种形式,包括逆向工程、会话重放和欺骗。API 滥用不仅限于这些 API 攻击,还有更多,攻击者将来可以发现更多的攻击。无论您的企业在采用 API 的道路上进展如何,您的目标都应该是创建可靠的 API 安全策略并正确管理它们!,
,应用程序编程接口 (API) 在 Web 和移动应用程序开发中发挥着关键作用,企业现在严重依赖它们来构建他们的产品和服务。这并不奇怪,因为 API 允许开发人员与任何现代技术集成,从而提供客户所需的功能。,它位于三个广泛的安全领域的交汇处:,
什么是API安全性以及为什么它很重要?
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《什么是API安全性以及为什么它很重要?》
文章链接:https://zhuji.vsping.com/337571.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。
文章名称:《什么是API安全性以及为什么它很重要?》
文章链接:https://zhuji.vsping.com/337571.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。