API安全应用场景系列之三:API业务防护

admin 2022年10月29日19:11:38评论123 views字数 3097阅读10分19秒阅读模式

API安全应用场景系列之三:API业务防护


我们分享的“API业务异常侦测”中,我们通过Imperva API业务异常侦测解决方案自动化形成API业务基线(同时可导出Swagger文件),基于基线我们可以针对业务进行异常检测;同时作为API安全防护的闭环措施,安全团队可以把业务异常侦测解决方案中基于Catalog Report生成的Swagger文件,作为安全基准导入到Imperva WAF设备,形成API应用白名单,利用WAF的防护特性对API应用进行安全防护


API安全应用场景系列之三:API业务防护


Imperva - SDK是一个用于Python的Imperva WAF Open API SDK,它允许Python开发人员编写与Imerva管理平台 通信的软件,通过imperva-sdk,用户可以管理和配置MX,包括以JSON文件的方式倒入,进行配置


●Imperva WAF Open API SDK参考:

https://imperva.github.io/imperva-sdk-python/index.html

● 把Swagger文件倒入WAF的代码参考:

https://imperva.github.io/imperva-sdk-python/examples.html

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板


API安全应用场景系列之三:API业务防护

●通过SDK倒入与业务同事核对过的Swagger文件,作为API的防护Policy,准确性高,不需要WAF再进行学习,马上可以进行防护阻拦,提高了安全性


●通过SDK实现Swagger文件的倒入形成防护Policy,可以与API业务CI/CD流程结合,实现业务的全自动化发布,适应API业务的快速变化



API安全应用场景系列之三:API业务防护


通过使用DDoS攻击关键应用API,造成了三分之一的网络陷入瘫痪。


对于部分API而言,一旦遇到DDoS攻击,使其接收到无效输入,便会用尽大量计算资源。


DDoS攻击可能会对API前端的Web应用程序造成相当大的干扰。


Imperva WAF通过有效使用速率限制、恶意IP封杀等策略,可抵挡此类攻击。这些策略与API分析组合使用时,可为API提供全面保护。

Imperva WAF的速率限制的维度有多种选择,而且与其他判断条件一起进行组合,提供足够的灵活性。


API安全应用场景系列之三:API业务防护


Imperva WAF的ThreatRadar是Imperva的威胁情报,实施对各种恶意IP的识别和封堵,减少DDoS的风险,对API 应用进行保护。

API安全应用场景系列之三:API业务防护



API安全应用场景系列之三:API业务防护


Web API是现代Web和移动应用程序的支柱,Imperva WAF用自动的积极安全模型保护你的API,检测应用程序中的漏洞,防止它们被利用。



A1 - 失效的对象级授权

攻击者通过尝试攻击对象级别授权的API接口,来获得未经授权的数据,比如通过可预测订单ID值来查询所有订单信息。

Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、Session cookie保护、防护Session hijacking、User tracking、GEOIP等技术实现部分的防护覆盖;

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A2 - 失效的用户认证

开发者对API身份认证机制设计存在缺陷或无保护设计,导致身份认证机制无效,比如弱密码、无锁定机制而被暴露破解等。

Imperva WAF通过积极的安全模型Application profile、Session cookie保护、防护Session hijacking、User tracking、威胁情报、GEOIP等技术实现部分的防护覆盖;

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A4 - 缺乏资源和速率控制

未对API做资源和速率限制或保护不足,导致被攻击。比如用户信息接口未做频次限制导致所有用户数据被盗。

Imperva WAF通过威胁情报、http请求限速、被动的安全模型Signatures、GEOIP等技术实现比较全的防护覆盖

API安全应用场景系列之三:API业务防护

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A5 - 失效的功能级授权

如通过修改HTTP方法,从GET改成DELETE便能访问一些非授权的API。

Imperva WAF 通过积极的安全模型Application profile实现部分防护覆盖

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A6 - 批量分配

也就是本来应该只能是能够看某个人的某条信息,但结果我直接用了一个 users ,我没做任何授权,就把所有人的用户都返回回去了。

Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A7 - 安全性配置错误

系统配置错误导致API的不安全,比如传输层没有使用TLS导致中间人劫持;异常堆栈信息未处理直接抛给调用端导致敏感信息泄露。

Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A8 - 注入

与OWASP Web安全注入类型相似,主要指SQL注入、NoSQL注入、命令行注入、XML注入等

Imperva WAF通过SQL 注入关联引擎、积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖

API安全应用场景系列之三:API业务防护

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A9 - 资产管理不当

对于API资产的管理不清,比如测试环境的、已过期的、低版本的、未升级补丁的、影子API等接口暴露,从管理上没有梳理清楚,导致被黑客攻击。

Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



A10 - 日志记录和监控不足

缺失有效的监控和日志审计手段,导致被黑客攻击时缺少告警、提醒,未能及时阻断

Imperva WAF通过事件日志、SIEM集成、攻击分析、Dashboard等技术实现比较全的覆盖

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



●END●



欢迎联系 Imperva 了解更多信息


电话:+86 10 8587 2372

邮箱:[email protected]

API安全应用场景系列之三:API业务防护
API安全应用场景系列之三:API业务防护

原文始发于微信公众号(IMPERVA):API安全应用场景系列之三:API业务防护

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月29日19:11:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   API安全应用场景系列之三:API业务防护https://cn-sec.com/archives/1358737.html

发表评论

匿名网友 填写信息