API NEWS | 谷歌对未来API经济七大趋势的看法

本周，我们带来的分享如下：

• 超38万个Kubernetes API服务器因潜在的配置错误被暴露在互联网上；

• 热门Swagger-UI库存在允许DOM XSS攻击的漏洞细节；

• 谷歌对API经济的未来的看法；

• API密钥的使用和最佳实践初学者指南。

根据互联网安全研究公司ShadowServer的一份报告，超38万个Kubernetes API服务器暴露在公共互联网上。ShadowServer的研究人员通过在URI /版本上执行GET请求来扫描IP地址，并记录返回HTTP 200状态码的实例。研究人员强调，尽管这种响应并不等同于存在漏洞，但暴露在互联网上很可能是由无意的配置错误导致的。

研究人员调查了超454000个API服务器，发现其中大多数（84%）是开放的。其中大部分都位于美国，其位置分布如图所示：

若想了解OIDC，Spencer推荐了OpenID基金会网站或Curity网站上的资源。

同样的，建议对默认设置保持警惕。

PortSwigger披露了Swagger-UI开源套件中一个DOM XSS漏洞的细节，该漏洞可能会导致账户被接管。

Swagger-UI是SmartBear Software开发的一个流行的用户界面组件，该组件允许开发者在其应用程序中呈现一个UI，以直观的图形方式暴露底层API细节。安全研究人员透露，包括GitLab和微软在内的大型企业在内的60多个实例都在调查这个问题，许多版本的Swagger-UI都受到了影响。建议在编写v4.11.1时升级到最新版本的Swagger-UI。

建议使用Swagger-UI的用户检查已经部署的版本，并进行相应的更新。

• API安全性成为焦点。

• 微服务API正在加速发展。

• 事件驱动架构（EDA）继续强势回归。

• GraphQL将加速BFF（服务于前端的后端）的发展。

• 一个API网关统治所有API的情况将不再出现。

• 会话API成为主流。

• 从影子IT到战略IT

读者最感兴趣的将是谷歌对API安全的看法：作者引用了Gartner表述的一个事实，即API已成为2022年入侵的主要攻击面。

最后，给大家介绍一份来自HackerNoon的指南，该指南涵盖API密钥、及其用法和最佳实践，目标读者是API安全初学者。

• 在API端点上创建速率限制。

• 使用攻击检测方法检测意外行为。

• 拒绝异常请求。

• 执行API密钥轮换和撤销。

• 使用JSON web令牌（JWTs）进行身份验证和授权。

• 对API的访问和使用全程监控。

有兴趣的小伙伴可以点击文末“阅读原文”阅读全部内容

感谢 APIsecurity.io 提供相关内容