文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

API 安全手册:需要做什么来保护API?

2024-11-30 12:05

关注

在过去十年中,API 部署呈爆炸式增长,但随着这种流行,恶意行为者也开始关注。许多 API 安全事件已经发生,尤其是数据泄露。这些事件提高了人们对 API 漏洞的认识,但由于由 API 交互组成的大量 Web 流量,攻击和违规行为仍在继续发生。

许多组织保护 API 流量的方式与保护其遗留应用程序的方式相同。但是,通用应用程序安全控制不足以保护 API 事务。安全和风险管理领导者必须与应用技术专家合作,建立并完善他们的 API 安全计划,以应对这种日益增长的威胁形势。

可见性:环境中存在哪些 API?

许多 API 泄露事件都有一个共同点:被泄露的组织直到为时已晚才知道他们的 API 不安全。API 安全的第一步是发现组织从第三方交付或使用的 API。

移动和 Web 应用程序是一个很好的起点。API 的另一个常见来源是应用程序集成,它涉及集成产品用来提供对应用程序或数据的访问的 API。一些组织可能还有一个开放的 API 程序,包括开发人员门户,并且必须保护这些公共 API。最后,考虑组织使用的任何第三方 API。

发现组织的 API 后,下一步是根据曝光度、业务环境和技术对它们进行分类。然后,确定 API 的潜在漏洞。最常见的 API 漏洞路径包括:

访问控制:谁在访问 API,有什么访问权限?

访问控制是 API 安全的重要组成部分。它包含身份验证(验证主体身份的过程)和授权(确定主体是否有权访问特定资源的过程)。

访问控制功能中的漏洞通常是针对 API 的最常见攻击点,会导致数据泄露、丢失和操纵。Web 应用程序历来使用基本身份验证(用户名和密码)来允许用户访问。当组织开始部署 API 时,通常会继承这种机制。

成熟的组织使用现代 API 访问控制机制。现代 API 访问控制策略基于对组织用例的四个关键维度的评估:

为确保进行适当的风险评估和分类,请使用这些维度来定义组织的 API 访问控制要求。

威胁防护:攻击者如何利用API?

API 安全程序必须防范三种常见的攻击模式:拒绝服务、滥用功能和漏洞利用。API 威胁保护由运行时或外围技术组成,可识别和防止属于这三类的攻击。

典型的威胁防护技术包括:

这些技术共同构成了 Web 应用程序和 API 保护或 WAAP 解决方案。除了 WAAP 功能外,组织还经常将 API 网关和管理系统添加到其基础架构中。

随着 API 威胁态势的增长,应用程序安全领导者必须建立并完善他们的 API 安全计划,以应对这种日益增长的威胁态势。这种方法可以帮助组织建立全面的 API 可见性计划,设置机制来检查 API 是否符合组织的身份验证和加密标准,并为关键的面向外部的 API 部署专门的威胁防护。

编译自:https://siliconangle.com/

来源:河南等级保护测评内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯