欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
Redmonk 和 FusionAuth 的网络研讨会内容
-
关于如何使用云原生方法来提高 API 安全性
-
REST API 模糊测试工具的覆盖范围
使用 Redmonk 和 FusionAuth 进行 API 身份验证
研讨会上,Rachel Stephens (RedMonk) 和 Dan Moore (DevRel 负责人,FusionAuth) 讨论保护 API 的方法。
该网络研讨会详细介绍了 OAuth,重点关注三个领域:
客户职责:
• 保护令牌
• 为资源服务器请求提供令牌
• 处理令牌过期
授权服务器职责:
• 保护用户数据
• 验证用户并颁发令牌
• 遵循标准并实施赠款
• 基于用户交互的授权码授予
• 机器对机器方案的客户端凭据授予
• 支持令牌验证
资源服务器职责:
• 验证令牌
• 验证声明
• 到期时间
• 发行人
• 观众
• 业务特定索赔
Moore 为保护API 的安全提供了以下建议:
• 从一开始就内置 API 认证和授权
• 避免 OWASP Top 10 API 问题:
• 倾向于 OAuth
• 授权码授予适用于用户
• 客户凭证授予适用于机器
点击文末“阅读原文”可观看此次研讨会内容
如何使用云原生方法提高 API 安全性
本周TheNewStack 重点介绍了如何使用云原生方法来提高 API 安全性。
有五项建议,分别是:
• 分布式授权和认证
• API 请求和响应处理
• 敏感数据处理
• API 出口保护
• 安全测试和左移
扇出(fan-out)是一个定义单个逻辑门能够驱动的数字信号输入最大量的专业术语,是指该模块直接调用的下级模块的个数。大多数的TTL逻辑门能够为10个其他数字门或驱动器提供信号。扇出过大一般是因为缺乏中间层次,应该适当增加中间层次的模块。扇出太小时可以把下级模块进一步分解成若干个子功能模块,或者合并到它的上级模块中去。
随着在API面临的风险逐步增加,保护API的安全性也将变得越来越重要。
CATS REST API 模糊测试工具
尽管它已经存在了一段时间,但作者最近研究了CATS REST API 模糊器和负测试工具,发现它可以根据预定义的 89 个模糊器集自动生成、运行和报告。
主要功能包括:
通过使用CATS(Swagger 的合同自动生成测试)可以无需编码工作,帮助你在几分钟内生成数千个 API 测试。所有测试都是基于一组预定义的 89 个 Fuzzer 自动生成、运行和报告的。Fuzzer 涵盖了广泛的输入数据,从完全随机的大 Unicode 值到基于请求数据类型和约束的上下文相关值。更重要的一点是,可以利用 CATS 动态生成请求负载并编写简单的端到端功能测试。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 如何使用云原生方法来提高 API 安全性
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论