專欄
一、序言
API为当今大多数数字体验提供了动力,API安全性仍然是大多数CXO最关心的问题。尽管数字化转型不断推动API在各个行业的应用,但恶意威胁行为比以往任何时候都更加瞄准API。当前API的安全状态与组织的需要存在很大差距,组织经常受困于难以理解的攻击面,缺乏正确的策略来构建防御,本文的目的即是讨论当今API生态系统面临的不同挑战和威胁,并提供保护API的最佳实践。
二、API安全面临的挑战
API处于数字化体验的中心,移动应用、WEB网站和应用程序的核心功能、微服务架构、监管机构的要求等等,均离不开API的支持,根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。与此同时,针对API的攻击成为了恶意攻击者的首选,相对于传统WEB窗体,API的性能更高、攻击的成本更低,Gartner预测,到2022年API滥用将是最常见的攻击方式。之所以API安全问题如此严重,主要是因为API安全面临着如下挑战:
(1) 应用和逻辑迁移上云,暴露更多攻击面
随着云计算技术的广泛应用,越来越多的Saas被迁移上云,在为更多的用户提供服务的同时,也将API暴露到云中,相对于传统数据中心的单点调用,东西向和南北向都可能成为API的攻击面。
(2) 创新强调速度和灵活,忽略构建API安全
敏捷开发模式是当今主流开发模式,敏捷开发强调个体和互动、工作的软件、客户合作、响应变化,虽然提升了创新速度和灵活性,但是对于如何构建API安全性却缺少合适的方法,导致在软件构建过程中难以顾及API安全。
(3) API接口对外不可见,引发多种攻击隐患
由于API是由程序员书写,除了编写代码的程序员,很少有人意识到这些API的存在,缺少维护的API经常容易被忽略,然而恶意攻击者却可以利用网络流量、逆向代码、安全漏洞等各种手段找到不设防API并实施攻击。
(4) 组织经常低估API风险,造成安全措施遗漏
人们通常会假设程序会按照想象中的过程运行,从而导致API被攻击的可能性以及影响被严重低估,因此不去采取充分的防护措施。此外,第三方合作伙伴系统的API,也容易被组织所忽视。
三、API面临的安全威胁
据权威报告显示,以API为目标的攻击是以HTML应用为目标攻击的三倍,部分攻击造成了严重的业务中断,攻击者利用弱身份认证、授权和注入漏洞实施攻击的方法仍然普遍,而利用Json、XML等基于解析器的攻击以及第三方API集成带来的风险正在增加,经综合分析,API的攻击类型包括:
(1) 凭证类攻击
据统计,2018-2020期间,有1000亿次的凭证盗用攻击,而且每年攻击的复杂度和数量都在持续增加,凭证盗用攻击的代价高达2280万美元,平均每30秒就有一位凭证盗用的受害者。攻击者通过购买、钓鱼、漏洞利用等方式获得API登录凭证,继而利用僵尸网络接入客户站点API,盗取客户数据或者个人信息。
(2) 可用性攻击
当API端点对外暴露,攻击者就可以利用DDOS或者攻击API解析器,造成API无法提供相应服务。对于DDOS,除了部署常规Anti-DDOS设备以外,还要关注合作伙伴API的DDOS攻击承受能力,如果仅仅依靠合作伙伴的安全措施,原始API就得不到保护。而针对API解析器的攻击则更具有针对性,可能造成哈希值冲突或者反序列化异常,进而拒绝API请求。
(3) 漏洞利用攻击
漏洞利用是所有应用程序面临的安全威胁,API也不能例外。通过在API的函数参数、Json、XML等有效负载嵌入恶意代码,实施目录转换、命令注入、SQL注入、XSS、绕过身份认证和授权等常见的API攻击手段,达到敏感数据窃取或破坏系统的目的。更进一步,API攻击已经工具化,攻击者能够利用工具搜集用于攻击的域名和API列表,再使用其他工具查找或删除敏感数据。
四、API安全防御的最佳实践
API安全防御是系统化工程,相对于传统防御侧重访问控制、签名、速率调节、加密等具体的技术手段,新的安全实践更加强调API治理、新型解决方案以及持续API安全检视的系统化措施。
(1) API治理
首先,对全部API进行全面文档化管理,为了规避API变动频繁的困难,推荐使用开源自动化管理工具,在API变更时添加描述性说明,自动生成最新API文档,同时自动检查流量以发现和分析未知或更改的API,以便快速响应基于API的攻击。其次,梳理API之间的调用链,梳理API之间的调用关系,找出僵尸API,防止安全防护措施遗漏,该步骤也可通过工具完成。最后,对API实施契约测试和白盒测试,减少漏洞存在的可能性。
(2) 新型解决方案
针对API面临的安全威胁,可采用新的解决方案提供安全防护。包括使用高级BOT检测,实现预登陆验证,拦截API非授权访问;部署API网关对API请求进行身份验证、授权和访问控制;使用正向和负向安全模式对API参数进行合法性验证;发现API流量行为并提供与WAF/DDoS快速集成的工具等等。
(3) 持续API安全检视
从发现、保护和分析三个维度,制定API安全检视列表,持续对API进行安全检视,以此发现隐患,制定策略、实施防护。在发现维度检视API开发、测试和部署的安全措施是否全面。在保护维度,检视用户标识、DDOS攻击防护措施、数据校验黑白名单是否完整。在分析维度,检视API风险评估、API审计日志是否充分。
五、展望
随着信息技术的快速发展,API安全防护也在持续演进过程中,最初API安全防护解决无效输入、DOS攻击、认证绕过等攻击,现今的防护重点则落地在缓冲区溢出、XSS、SQL注入等漏洞防护,安全防护的措施也从单个漏洞防护升级为网关、应用系统防护。未来,多向量、自动化工具、武器化人工智能类的攻击将成为API攻击的主流,相应的,安全防护措施也需加强系统化、自动化、深度学习、智能化能力,向以体系对抗体系,以智能防护智能的方向演进。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
推薦系統(tǒng)
雨林木風 winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載
系統(tǒng)大小:0MB系統(tǒng)類型:WinXP雨林木風在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風WindowsXP其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風 winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。
系統(tǒng)等級:進入下載 >蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用
系統(tǒng)大小:0MB系統(tǒng)類型:Win7蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動,幫助用戶們進行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。
系統(tǒng)等級:進入下載 >雨林木風xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載
系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP雨林木風xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動,可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,加固了系統(tǒng)安全策略,運行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進入下載 >蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園
系統(tǒng)等級:進入下載 >蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園win10國內(nèi)鏡像版,基于國內(nèi)用戶的習慣,做
系統(tǒng)等級:進入下載 >windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win11蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進入下載 >
相關(guān)文章
- 如何解決銳龍2200g死機藍屏
- Win8.1本地搜索為什么無法使用
- Win8.1無線網(wǎng)絡(luò)不穩(wěn)定/掉線怎么辦
- 電腦機箱漏電怎么消除?電腦機箱漏電是哪里的問題?
- 電腦開不了機怎么辦?電腦無法開機怎么解決?
- 硬盤雙擊無法打開的問題該怎么辦
- 風行下載速度慢甚至是為0怎么辦?風行播放器下載問題及解決方法匯總
- 蘋果回應(yīng)新的iOS惡意軟件YiSpector:已在iOS8.4中解決該問題
- 沒有路由器怎么連無線 160wifi 解決沒有路由器連接無線問題
- 維棠FLV下載視頻失敗問題匯總及解決方法
- Word2016 出現(xiàn)“此功能看似已中斷 并需要修復(fù)”問題解決方案(圖文)
- Cisco管理的35個常見問題及解答
- NanoStudio怎么用?NanoStudio使用方法及常見問題
- IE瀏覽器登錄網(wǎng)上銀行時出現(xiàn)崩潰問題的解決辦法
熱門系統(tǒng)
推薦軟件
推薦應(yīng)用
推薦游戲
熱門文章
常用系統(tǒng)
- 1win11最新娛樂版下載 技術(shù)員聯(lián)盟x64位 ghost系統(tǒng) ISO鏡像 v2023
- 2電腦公司windows7純凈版 ghost x64位 v2022.05 官網(wǎng)鏡像下載
- 3外星人系統(tǒng)Win11穩(wěn)定版系統(tǒng)下載 windows11 64位穩(wěn)定版Ghost V2022
- 4win11一鍵裝機小白版下載 外星人系統(tǒng) x64位純凈版下載 筆記本專用
- 5蘿卜家園Ghost win10 64位中文版專業(yè)版系統(tǒng)下載 windows10純凈專業(yè)版下載
- 6【國慶特別版】番茄花園Windows11高性能專業(yè)版ghost系統(tǒng) ISO鏡像下載
- 7青蘋果系統(tǒng) GHOST WIN7 SP1 X64 專業(yè)優(yōu)化版 V2024
- 8深度技術(shù)ghost win7純凈版最新下載 大神裝機版 ISO鏡像下載
- 9雨林木風windows11中文版免激活 ghost鏡像 V2022.04下載