文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

经常被忽视的六大API安全风险

2024-12-01 13:06

关注

审校 | 孙淑娟

API安全威胁始终是个问题。API安全好比开车。发布之前,您必须谨慎行事,仔细审查各个环节。不然,您将会把自己和他人置于险境之中。

API攻击比其他攻击更危险。Facebook的5000万用户帐户曾受到API攻击的影响,Hostinger帐户遭到的API数据攻击泄露了1400万条客户记录。

如果黑客闯入您的API端点,可能会给您的项目带来灾难。不安全的API可能会让您陷入困境,这视具体的行业和地区而定。尤其在欧盟,如果您为银行服务,倘若被发现使用不安全的API,您可能面临严重的法律和合规问题。

为了减轻这些风险,您需要了解网络犯罪分子可以利用的潜在API漏洞。

一、六种经常被忽视的API安全风险

1、对API缺乏可见性和监控意味着“风险”

如果您逐步使用基于云的网络,所使用的设备和API的数量也随之增加。这也将导致对您在企业内部或外部泄露哪些API缺乏可见性。

影子、隐藏或弃用的API不被安全团队了解,为攻击者针对未知的 API、API参数和业务逻辑发动成功的网络攻击创造了更多机会。API网关等传统工具无法完整地列出所有API。

一定要有API可见性,包括如下:

2.API功能不足

关注您的API调用对于避免向API传递重复的请求很重要。如果两个部署的API试图使用同一个URL,可能会导致重复和冗余的API使用问题。这是由于两个API上的端点使用同一个URL。为了避免这种情况,每个API都应该有自己的唯一URL,并加以优化。

3.服务可用性威胁

在僵尸网络的帮助下,针对性的DDoS API攻击可以使API服务器的CPU周期和处理器能力超载,发送带有无效请求的服务调用,从而使服务器无法用于合法流量。DDoS API攻击不仅针对运行API的服务器,还针对每个API端点。

速率限制让您有信心保持应用程序健康运行,而良好的响应计划随带多层安全解决方案,比如AppTrana的API保护。准确、全面托管的API保护可以持续监控API流量,并在抵达服务器之前立即阻止恶意请求。

4.因API的使用而犹豫不决

B2B公司经常需要向组织外面的团队公布内部API使用方面的数字。这可能非常有助于促进协作,允许其他人访问您的数据和服务。但是有必要仔细考虑您允许谁访问您的API,以及对方需要什么样的访问级别。您不希望过于广泛地开放API,造成安全风险。

在合作伙伴或客户之间共享API调用时,需要对其密切监控。这有助于确保每个人都按预期使用API,系统没有不堪重负。

5.API注入

API注入这个术语用来描述恶意代码连同API请求被注入。注入的命令执行后,甚至可以从服务器删除用户的整个站点。API易受这个风险影响的主要原因是,API开发人员未能在输入内容出现在API代码中之前加以清理。

这个安全漏洞给用户带来了严重问题,包括身份盗用和数据泄露,因此意识到该风险至关重要。在服务器端添加输入验证机制,以防止注入攻击,并避免执行特殊字符。

6.通过API攻击物联网设备

可以在多大程度上钻物联网的“空子”取决于API安全管理水平;如果没有这种安全管理,您将很难使用物联网设备。

随着时间的推移和技术的进步,黑客总是会使用新的方法来利用物联网产品中的漏洞。虽然API支持强大的可扩展性,但它们为黑客访问物联网设备上的敏感数据打开了新入口。为了避免物联网设备面临的许多威胁和挑战,API必须更安全。

因此,您需要给物联网设备打上最新的安全补丁,确保它们免受最新威胁的侵害。

二、实施WAAP,降低API风险

当下,许多组织不断受到API攻击的威胁。每天都有新的漏洞出现,因此有必要定期检查所有API是否存在潜在威胁。Web应用程序安全工具不足以保护贵公司免受这类风险。要使API保护发挥功效,它就要完全致力于API安全。Web应用程序和API保护(WAAP)系统是这方面切实有效的解决方案。

原文链接:https://thehackernews.com/2022/09/6-top-api-security-risks-favored.html

来源:51CTO技术栈内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯