API NEWS | 谷歌云API安全的四大支柱

本周，我们带来的分享如下：

• 谷歌云API安全的四大支柱

• 使用 Cerbos，可以为API 添加访问权限

• 在入侵API时攻击可预测的GUID

本周，在Google Cloud的一篇文章中，他们分享了API安全性的四大支柱。重点介绍了Google自己的Apigee平台的调查结果，及其2022年关于API安全见解和趋势报告。Apigee发现，API流量在2019年至2020年间增加了46%；2021年，超过一半的组织遇到了与API相关的安全威胁。

• 数据抓取：通过滥用分页或枚举方案，通过API泄露过多数据。

• 拒绝服务（DoS）：攻击API（通过批量攻击或分布式机器人程序），以防止用户的合法访问。

• 注入或恶意软件：使用 API 作为恶意软件（例如文件上传）或恶意代码注入。

• 帐户接管 (ATO)：滥用API提供的密码重置机制来接管帐户。

• Scalping and bots：该程序可以自动购买部分商品并高价转售。

• 通过中央API管理平台，对所有API，实施基本的API安全控制和保护：统一基线策略，适用于所有治理下的API；此策略包括传输安全、速率限制和机器人防御等基础知识。

• 防范DDoS和漏洞利用：使用包括WAF、DDoS防护和威胁情报功能的现代云保护套件。

• 反僵尸程序保护：重点保护API和暴露资源，免受欺诈活动、垃圾邮件和滥用行为的侵害。

• 使用安全的API编码原则：可以提前预防最常见的安全问题类别，创建一个左移安全文化，让开发人员深刻了解到API安全的重要性。

实施不当的API授权会导致两类最突出的API安全漏洞："API1：2019 — 失效的对象级别授权"和 "API5：2019 — 失效的功能级授权"。导致这两类漏洞出现最常见的原因是，后端权限控制实施不到位。在New Stack的指南中，作者讨论了使用标准授权框架的好处，确保使用统一的应用访问控制方式，可以提高自动化管理并增加API安全性。

• 部署并运行Cerbos

• 定义策略

• 检查权限

策略用易于阅读的标记语言定义，如下所示：

在客户端代码中，开发人员只需使用当前用户和目标资源，调用中央Cerbos服务器，即可确定是否允许用户访问该资源。决策逻辑与实施分离，从而让解决方案可扩展并更加灵活。

现代数字系统的标志之一是可信赖的全局唯一标识符（GUID，也称为UUID），它充当了基础数据或信息的唯一标识符。将GUID视为指向服务器上信息的指针，当客户端访问资源时，会为其提供一个GUID，以便在将来的事务中标识资源。如果攻击者能够猜出有效的GUID，他们可以很容易地对目标系统发起攻击。

总结：

如果发现在端点中使用v1 GUID的目标API，且GUID作为其业务逻辑的一部分，那么就有机会对其进行pwn。

感谢 APIsecurity.io 提供相关内容