API攻击是什么?如何做好防范

最新推荐文章于 2024-07-31 19:29:25 发布
最新推荐文章于 2024-07-31 19:29:25 发布
阅读量1.6k 收藏 8
点赞数 7
文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66326520/article/details/135997110
版权

      API 攻击是针对应用程序接口的一种攻击手段,近年来逐渐成为网络安全领域的热点话题。攻击者主要针对应用程序接口中的漏洞或者错误进行API攻击,从而达到窃取敏感数据、进行恶意操作、破坏系统正常运行等恶意目的。

什么是API攻击?

API 攻击是指利用应用程序接口(API)中的漏洞或者错误,通过恶意请求或其他手段获取未授权的数据或对系统进行恶意操作。API攻击范围很广,包括Web API、REST API、SOAP API等,具有隐蔽性高、威胁性大等特点,攻击者可以利用API漏洞绕过防火墙、入侵检测系统等安全防护设备,从而对系统进行深入攻击。

以下是一些常见的 API 滥用案例,以及如何预防的建议。

 失效的对象级授权 (BOLA)

BOLA 指对对象访问请求的验证不充分,允许攻击者通过重用访问令牌来执行未经授权的操作。根据 OWASP 的 API 安全项目,BOLA 是当今最严重且最常见的 API 攻击,占所有 API 攻击的40%。

预防 BOLA 的建议:

  • 实施依赖于用户策略的授权机制,验证登录用户是否有权执行请求的操作。

  • 使用随机和不可预测的值作为记录 ID 的 GUID。

  • 编写评估授权的测试。

 分布式拒绝服务攻击 (DDoS)

DDoS 是一种常见的攻击类型,恶意攻击者通过故意使用来自多个设备和 IP 地址的大量机器人流量使 API 过载。对于企业而言,关键业务服务因此面临风险,例如登录服务、会话管理和其他为用户提供应用程序正常运行时间和可用性的服务。

执行 DDoS 活动的攻击者通常使用不对称技术,通过这种技术发送少量数据来生成 API 调用,这通常会导致服务器严重超载,因为他们必须使用大量数据来响应此类 API 调用。此类攻击会严重占用系统资源并大大增加系统所有用户的服务器响应时间。

企业可以采取以下措施来阻止 DDoS 攻击: 

  • 流量分析

  • 速率限制(例如,每个客户端/资源的请求数、请求负载大小)。

  • 自动缩放资源(确保为阈值报告打开警报)。

  • 使用德迅云安全高防服务器,SCDN,等高防产品,一键部署防护

 安全配置错误

应用程序中安全设置的不当配置可能会导致通过帐户接管(ATO) 的方式被利用和攻击。 

防止这种情况的几种方法是:

  • 盘点和管理所有 API,特别留意影子 API 和僵尸 API。

  • 扩大数据治理范围,从应用程序扩展到所涉及的 API 的数据。

 数据泄露

这种威胁通常被认为是通过开放的 API 意外泄露机密信息造成的。某旗下的移动支付服务。交易在设计上和默认情况下都是公开的。这种开放策略在 2019 年导致了严重的数据抓取问题,2 亿  用户的私人信息被抓取。此外,还发现了美国总统拜登的账户。 无论是有意还是无意的数据泄露,在被大量滥用时都可能引发国家安全问题。

缓解或消除数据泄露风险的两种方法是:

  • 在 API 而非客户端级别执行信息过滤

  • 避免在功能不需要时发送敏感信息

 API 注入

API 注入指恶意代码连同 API 请求被注入。注入的命令执行后,这种恶意代码(不仅仅是 SQLi)可以从服务器删除用户的整个站点。恶意攻击者通常以此来获取对私人数据的访问权限。

以下是一些避免注入的方法:

  • 参数化查询

  • 保证安全的上下文,可在时间线上查看所有 API 活动。

  • 用授权取代过时和不安全的认证方法。

  • 在服务器端添加输入验证机制

  • 避免执行特殊字符

  • 全面的日志记录、监控和警报

API安全的建设意见

面对高速迭代、隐秘多变的API攻击技术,企业在数字化转型的过程中,应在把握自身现状的基础上加强内部风险管理、做好 API 全生命周期安全管控、建立健全业务漏洞应急响应制度,从根本上提升数据安全及合规能力,有效形成数据信息保护的防御闭环。

1. API资产发现与管理

对API进行深度资产梳理,通过主动、被动等识别方式,建立API资产台账,帮助安全团队了解不同应用程序使用的API 的业务属性以及对应API的关联性。

2. API漏洞识别

建设持续挖掘、收集 API相关漏洞的能力和机制,并做好补丁管理,包括引入第三方组件时充分考虑组件自身安全,避免第三方组件引入安全漏洞。

3. 异常行为检测

关注API高频访问、异常数量级数据访问、异常时间访问等异常行为,建立全面可视化管理。

4. 敏感数据识别

数据分级分类治理,通过技术手段持续监测API访问数据,自动梳理API接口中的敏感数据流并生成API接口与敏感数据映射,确保个人隐私数据、商业数据以及其他敏感数据不被泄露。

5. 建立认证授权体系

构建完整的认证授权体系,实现认证授权统一,对API内外部访问执行可信认证策略。

6. 访问控制限制

对API 请求设置一套限制策略,从系统的处理能力方面对 API请求做限流管控,缓解基于API的DDoS攻击,有效防止资源消耗在无意义或恶意的API请求上。

7. 使用高防产品

使用德迅云安全防护,一键解决攻击问题,无需额外部署,一键接入,全面防护。

德迅云安全小李
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API注入攻击防护
大军的博客
02-24 1222
API注入攻击防护
HTML5安全风险详析之六:API攻击
蒋宇捷的专栏
11-20 7425
HTML5里有许多协议、模式和API,可能成为攻击者的攻击途径。         一、registerProtocolHandler:信息泄漏        HTML5允许某些协议和schema注册为新的特性。例如下面的语句可以注册一个email handler。navigator.registerProtocolHandler(“mailto”,“http://www.f.com/?uri=%s
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
m0_61869253的博客
02-19 961
接口是后端设计的一套供给第三方使用的方法举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息![在这里插入图片描述](https://img-blog.csdnimg.cn/0ae9f717cca2409091efc14f1f2e4623.png)输入相关参数进行调用![在这里插入图片描述](https://img-
5种典型 API 攻击及预防建议
分享 GPU 管理与大模型推理相关技术实践
11-23 268
API 已经发展成为重要的互连,支持不同应用程序架构之间的通信,促进新服务的更快集成和部署。
网络安全-API接口攻击
weixin_34278190的博客
01-22 1827
原文 github.com/CodeLittleP… 前言 相信很多网站都会遇到也不知道是谁,毫无目的刷网站的接口的事情。 尤其是短信接口,好像所有网站都会被人刷接口,十有八九都是短信接口的提供商找人干的。。。 其次,登录接口也是经常被刷地方,因为可以被破坏者用来爆破用户的密码。 然后,注册接口也是,不过因为国家强制要求手机号注册的原因,现在还好刷注册接口很难了。 防御方式 1、监控异常ip,发现...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
PHP和XSS跨站攻击防范
10-30
### PHP与XSS跨站攻击防范详解 #### 一、XSS跨站攻击概述 XSS(Cross Site Scripting)跨站脚本攻击是一种常见的安全威胁,尤其在Web应用程序中非常普遍。它允许攻击者注入恶意脚本到看似可信的网站上。当其他用户...
API接口安全策略文档
06-29
本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对伪装攻击,即第三方非法调用接口,我们可以通过严格的权限控制和身份验证机制来防止...
SQL 数据库 注入攻击的种类和防范手段
11-06
### SQL数据库注入攻击的种类与防范手段 在数字化时代,数据安全成为了企业和组织不可忽视的重要议题,其中SQL数据库注入攻击尤为突出,它不仅威胁到数据的完整性,还可能造成敏感信息泄露,甚至导致整个系统瘫痪。...
物联网设备的隐形盾牌:防范DDoS攻击的策略
07-28
### 物联网设备的隐形盾牌:防范DDoS攻击的策略 #### 一、引言 随着物联网(IoT)技术的快速发展,越来越多的物理设备、车辆、家用电器等通过互联网实现了智能化操作和远程监控。然而,这些物联网设备也成为网络...
API攻击原理,以及如何识别和预防
阿道夫的博客
03-25 746
攻击者知道在针对API时如何避开WAF和API网关。以下是一些公司应对API攻击快速增长的示例。5月初,Pen Test Partners 安全研究员 Jan Masters发现,他竟然能够在未经身份验证的情况下,向Peloton的官方API提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。应用程序编程接口(API)允许轻松地机器对机器通信。
超90%的Web应用程序攻击来自API,企业该如何应对API安全挑战?
SR_DFGP的博客
07-03 200
通过提升重视程度,加强自身管理,并借助外部专业力量,可以有效帮助企业解决API不可知、不可控两大核心问题,筑牢API安全防线。
网络安全 | 5种典型 API 攻击及预防建议
m8330466的博客
04-23 614
API 帮助跨多个设备互连多个应用程序或软件系统,定义它们可以发出的调用或请求的种类、调用的方式、应使用的数据格式以及应遵守的约定。API 已经发展成为重要的互连,支持不同应用程序架构之间的通信,促进新服务的更快集成和部署。软件开发程序也依赖 API 来提供服务、平台管理和持续部署。涉及移动设备、云数据系统和微服务设计模式的现代应用程序架构需要使用多个 API 作为网关,以促进不同 Web 应用程序之间的互操作性。
API攻击防御不足:策略未能保护网络应用的API接口
ZOMO的博客
02-03 638
随着互联网的快速发展以及API技术的普及,越来越多的企业通过网络应用对外提供服务、数据等能力.然而伴随着这些便利的同时,API也成为了黑客攻击的目标之一.本文将结合实际案例探讨API被黑的常见原因及相应的防护策略,并提出几点建议以加强API安全管理.
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
最新发布
互联网架构小马的博客
07-31 614
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
什么是 XSS 攻击?如何防范 XSS 攻击
06-07
XSS(Cross-Site Scripting,跨站脚本攻击)指的是攻击者利用网站漏洞,将恶意脚本代码注入到网页中,使得其他用户在访问该页面时,恶意脚本会被执行,从而导致攻击者窃取用户的敏感信息或者利用用户的身份进行其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值