六大API安全风险

admin 2022年12月1日11:27:37安全新闻评论24 views1531字阅读5分6秒阅读模式

六大API安全风险

提到API,安全威胁是个绕不过去的坎。API安全堪比驾驶汽车,你必须慎之又慎,并在发布前仔细审查所有事项。否则,一旦出了纰漏,那就是把自己和他人置于风险之中。

API攻击比其他安全事件更加危险。社交媒体Facebook因API漏洞而导致5000万用户账户信息遭泄露,虚拟主机提供商Hostinger的API数据泄露事件则暴露了1400万客户记录。

一旦任由黑客染指API端点,你的项目就可能遭遇灾难性打击。取决于所处行业和地理位置,不安全API或许会令你陷入水深火热。尤其是在欧盟,如果是为银行业服务,只要曝出在用不安全API,那就可能面临大量法律与合规问题。

为缓解此类风险,你需要警惕网络犯罪分子可能利用的潜在API漏洞。

常被忽视的六个API安全风险

1、缺乏API可见性与监测

只要推广使用基于云的网络,在用设备和API的数量就会同步增长。奈何,这一增长也会导致看不清自己到底有哪些API对内或对外公开了。

超出安全团队可见范围的影子、隐藏或弃用API形成了更多攻击机会,让恶意黑客更容易攻克未知API、API参数和业务逻辑。API网关之类的传统工具缺乏提供API完整库存清单的能力。

而必须拥有的API可见性包括:

  • 集中可见性和涵盖所有API的清单

  • API流量详细视图

  • 传输敏感信息的API的可见性

  • 采用预定标准自动进行的API风险分析

2、API功能欠缺

关注API调用情况有助于避免向API传递重复请求。若部署的两个API试图使用同一个URL,可能会引发API使用重复和冗余问题。这是因为两个API上的端点都在使用同一个URL。为避免出现这种情况,应该加以优化,让每个API都有自己唯一的URL。

3、服务可用性威胁

在僵尸网络的助攻下,针对性DDoS API攻击可致API服务器的CPU周期和处理器功率过载,发出携无效请求的服务调用,从而无法服务合法流量。DDoS API攻击不仅针对运行API的服务器,还针对每个API端点。

限速有助于维护应用程序的正常运行,但良好的响应计划还应包含AppTrana API保护等多层安全解决方案。准确的全托管API保护可以持续监测API流量,即时阻止恶意请求,防止其到达服务器。

4 、API利用犹豫不决

B2B公司常需向外部团队暴露内部API利用端口号。这是促进协作和允许其他人访问公司数据和服务的好方法。但是,必须慎重考虑赋予API访问权限的对象及其所需的访问级别。你不会想要大肆放开自己的API而引发安全风险的。

与合作伙伴或客户共享API时需密切监测API调用情况。这有助于确保大家按预期使用API,避免系统过载。

5、API注入

API注入指的是将恶意代码注入API请求中。被注入的指令一旦执行,甚至可以从服务器上删除用户的整个站点。API难以抵御此类风险的主要原因在于API开发人员未能预先清理输入,从而导致恶意代码进入到API代码之中。

这一安全漏洞给用户带来了严重的问题,例如身份盗窃和数据泄露,必须重视此类风险。需在服务器端添加输入验证来防止注入攻击和避免执行特殊字符。

6、通过API攻击物联网设备

物联网的有效利用取决于API安全管理水平;如果API安全管理不善,物联网设备利用可能会举步维艰。

随着时间的推移和技术的进步,黑客总会用新方式来利用物联网产品中的漏洞。虽然API带来了强大的扩展性,但也打开了新的入口,方便黑客访问物联网设备上的敏感数据。想要规避物联网设备面临的诸多威胁和挑战,API必须更加安全。

因此,需要用最新的安全补丁更新物联网设备,从而确保免受最新威胁侵害。


参考阅读
理解API安全以及如何开始
数世咨询:API安全研究报告2022
[调研]:API安全与可见性未得到妥善处理

原文始发于微信公众号(数世咨询):六大API安全风险

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月1日11:27:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  六大API安全风险 http://cn-sec.com/archives/1436726.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: