theme: orange
持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第23天,点击查看活动详情
🤞 个人主页:@青Cheng序员石头
上云后,是否不确定如何保护自己免受云计算安全漏洞的影响?
不安全的API
应用程序用户接口(API)旨在简化云计算流程。然而,如果不安全,API就会为攻击者利用云资源打开通信线路。
Gartner估计,到2022年,API将成为攻击者更频繁使用的针对企业应用数据的威胁载体。最近的一项研究还显示,三分之二的企业将其API暴露给公众,以便外部开发者和商业伙伴可以访问软件平台。该研究还表明,一个企业通常平均处理363个API,近61%的公司报告他们的业务战略依赖于API整合。随着对API的依赖性越来越大,攻击者已经找到了利用不安全的API进行恶意活动的常见方法,下面是两个例子。
不适当的认证。通常情况下,开发人员创建的API没有适当的认证控制。因此,这些API对互联网完全开放,任何人都可以使用它们来访问企业数据和系统。 不充分的授权。太多的开发者不认为攻击者会看到后端的API调用,也不把适当的授权控制放在位。如果不这样做,后端数据的破坏是微不足道的。
那如何防止不安全的API?鼓励开发者在设计API时采用强认证、加密、活动监控和访问控制。API必须是安全的。进行渗透测试,复制针对你的API端点的外部攻击,并获得安全代码审查。最好是确保你有一个安全的软件开发生命周期(SDLC),以确保你持续开发安全的应用程序和API。另外,考虑对传输中的数据使用SSL/TLS加密。利用一次性密码、数字身份等模式实施多因素认证,以确保强大的认证控制。
少年,没看够?点击石头的详情介绍,随便点点看看,说不定有惊喜呢?欢迎支持点赞/关注/评论,有你们的支持是我更文最大的动力,多谢啦!