API安全风险与防范

最新推荐文章于 2024-08-08 10:27:10 发布
最新推荐文章于 2024-08-08 10:27:10 发布
阅读量4.1k 收藏 15
点赞数 2
分类专栏: Web安全 文章标签: API 安全 签名 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nklinsirui/article/details/107818341
版权
本文探讨了API面临的安全风险,如未授权访问、越权问题、数据窃听等,并提出了相应的防护措施,包括使用身份验证、HTTPS、API签名等,强调了互不信任原则和不信任网络原则,以及安全三要素:加密、认证和鉴权。
摘要由CSDN通过智能技术生成

文章目录

API安全风险与防范

前言

本文就API安全面临的常见风险和如何防范,浅谈了一下个人见解,供API设计和开发时参考。

API安全风险与防范

未授权访问

风险:攻击者知道API地址和传入参数后,访问未授权的数据或操作。

防范:

  1. 前端调用后端的接口,必须由后端作二次校验,不能只相信前端页面控制;
  2. 系统对系统的接口,需要用身份认证机制(比如,appId和appSecret机制、token机制)

参见:

越权问题

风险:攻击者试图访问权限范围外(水平越权或垂直越权)的数据或操作。

防范:

  1. 不信任接口调用传入参数,必须由后端对访问作严格的权限控制,不要偷懒;
  2. 前端调用后端的接口,必须由后端作二次校验,不能只相信前端页面控制;
  3. 不相信前端传进来的和权限有关的参数(或者不要让前端传进来和权限有关的参数),而是后端自动获取当前登录用户的权限相关的信息;
  4. 后端不能只判断用户是否登录,而是还要判断当前用户是否有权限;
  5. 特别小心传入id来查询或操作的场景,一定要校验当前用户是否有该id的权限;

参见:

数据窃听

风险:在调用API的传输过程中,数据可能会被窃听,比如恶意WIFI、DNS劫持、网络设备被黑等。

防范:

  1. 尽量在安全的网络中传输,比如内网、专线等;
  2. 采用HTTPS协议对传输过程加密;
  3. 对传输的数据进行加密。

DDoS攻击

风险:攻击者控制一群肉鸡,发起DDoS攻击(分布式拒绝服务攻击)&#

最低0.47元/天 解锁文章
nklinsirui
关注
专栏目录
API安全风险治理思路、安全架构设计及实践
qq_61890005的博客
09-08 459
这种方式确实可以扫描到部分API,但可能并不完整,一是对外暴露的API不一定都采用注解的方式,二是应用程序引用的第三方的包中,也对外暴露了API,这部分可能是扫描不到的。本文依次从突出API安全的重要性,到列举什么是不安全API,及全面治理的思路方法,再到如何通过API架构设计减轻API安全问题,以及最后针对某API安全问题的实践过程分别进行了一一阐述,其中部分截图来自OWASP官网/中国网。所以,缺省情况下,它并不会启用安全控制能力,因此,你需要根据实际使用场景,选择开启不同的安全控制能力。
API安全所面临的风险-学习笔记
why811的博客
08-03 841
从银行、零 售、运输到物联网、自动驾驶汽车、智能城市,API都是现代移动、SaaS 和 Web应用程序的一个 关键组成部分,并且在面向客户、面向合作伙伴和面向内部的应用中都会使用到。一般来说,API会公开应用程序的逻辑和敏感数据,如:个人识别信息(PII),正因为如此, API越来越成为攻击者的目标。另外,如果提供的电子邮件地址没有在系统中注册,handlePasswordResetLink()方法将以BAD REQUEST HTTP状态响应,泄露电子邮件是否在系统中注册的用户信息。
怎么应对API 成批分配问题?
最新发布
m0_50736744的博客
08-08 502
API 成批分配利用可能导致特权升级、数据篡改、绕过安全机制。对于POST请求,如果请求时body里存在后台不需要的字段,但是响应成功
API安全问题主要成因
weixin_70101757的博客
06-12 357
既然API安全问题由来已久,那么API安全的真实情况到底如何? 不妨先来看一看2020年初的几起数据泄露事件。2020年33月底,多家网络媒体爆料,某社交平台数据疑似大规模泄 露,涉及53亿多用户,随后社交平台的安全专员回复是在23018年底, 有黑客通过手机通讯录接口,伪造本地通讯录来获得手机号与平台用户 的关联,从而“薅走了一些数据”。针对此次API安全问题,平台已及时 加强了安全策略,并在不断强化。除了某社交平台之外,很多社交App 都有通过通讯录匹配好友的功能。2019年11月,Twitter就出现
常见的API接口漏洞总结
summer_fish的专栏
05-01 4067
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
API风险
网络研究观
12-29 1万+
虽然API有很多优点,但它们在移动应用程序中无处不在的使用也是一个明显的缺点。当你考虑到许多企业依赖第三方应用程序和API时,尤其如此。
浅谈API安全
2301_78540048的博客
06-24 1136
API安全
RESTful API安全防护与防范措施
RESTful API安全概述 1.1 什么是RESTful API RESTful API(Representational State Transfer)是一种设计风格、提供一组约束条件的软件架构原则,用于在网络中进行交互。它是一种轻量级、可扩展、简洁的设计风格,...
RESTful API安全防范策略
[RESTful API安全防范策略](https://img-blog.csdnimg.cn/319f4928c19a4238a41cb91a325bc075.png) # 1. **引言** 在当今数字化时代,随着RESTful API的广泛应用,API安全性也变得至关重要。RESTful API作为不同...
RESTful API安全性:常见攻击与防范
RESTful API安全基础知识 RESTful API是一种基于REST架构原则设计的API接口,它使用标准的HTTP方法进行通信,并且具有无状态性和资源导向的特点。由于RESTful API通常涉及对敏感数据的访问和操作,因此其安全性尤...
API安全面临的主要挑战
weixin_70101757的博客
06-12 265
API安全事件频发,其外因是存在恶意攻击行为。而作为使用API 的企业,在API生态中把API当成基础设施的一部分,却缺少清晰的API 保护方针和策略,无法提供高质量的API安全服务能力,也是导致API 安全事件的原因。了解了这些原因,若想彻底解决API安全问题,仍需要面临多方面的挑战。1.API广泛使用带来攻击面扩大的挑战API技术的产生是为了解决不同组件或模块之间的标准化通信交互问题,随着互联网上业务种类的不断增加,出现了以API为中心的API 经济生态。在这个生态系统内,API能力提供者作为平台能力支
API 的5 大身份验证安全隐患
anlalu233的博客
09-16 506
文章来源:嘶吼专业版 目录未经身份验证的 API使用非空值身份验证令牌的 APIAPI经过身份验证,但未经授权API令牌扩散带有不正确授权逻辑的API总结 最近一连串的 API 安全事件(Peloton、Experian、Clubhouse 等)无疑迫使许多安全和开发团队仔细检查他们的 API 安全状况,以确保它们不会成为下一个被攻击对象。创建面向外部受众的所有API的清单是组织在组合或重新评估API安全程序时最常见的出发点。有了这个清单,下一步是评估每个暴露的 API 的潜在安全风险,比如弱身份验证或以明
当前API面临的安全风险,有什么安全措施
dexunyun的博客
05-23 1198
影子API是目前API安全中最为突出的问题,由于API的使用率激增,企业往往无法全部跟踪管理,因此,一些API无法及时进行维护更新, 这些未经授权或已废弃的API可能存在于企业的系统中,由于管理不善或疏忽,从而成为了被恶意黑客公开利用的漏洞。API安全不仅仅是修复单个漏洞的问题,需要我们从更广泛的角度解决API网络安全缺口,在设计和实现API时,需要充分考虑其安全性,并采取相应的安全措施来防范潜在的安全威胁。与影子API类似,僵尸API也是一个巨大的安全风险,其通常指的是旧的、很少使用的API版本。
api接口加密_谈谈API接口开发中的安全性如何解决
weixin_39978350的博客
11-22 252
如今各种API接口层出不穷,一个API的好与不好可以从很多方面来考量,其中“安全性”就是一个API接口最基本也是最重要的一个特点。本文就来跟大家聊聊关于API接口开发的安全性问题。所谓接口服务器端直接根据user_id来做相应的会员操作,这是非常危险的接口处理,等于把当前的会员系统给完全暴露出来,只要对方改一下user_id就可操作所有会员对应的接口。一般在PC端,我们是通过加密的cookie来做...
关于API接口安全性讨论
learnworm的专栏
04-30 361
API安全性 在项目开发过程中,通常我们需要提供API接口供移动端、其它应用、第三方等进行远程调用,AIP接口通常也是放在网上的,那么我们的接口安全性成为后端开发关注的重要组成部分。下面做简介的分析: 1.可能存在的风险 面临的攻击或恶意访问【枚举猜测循环验证】【网络爬虫】【网络恶意扫描软件】 2.数据安全性 【数据窃取】用户名密码被盗 通常用户密码需要做加密处理之后,以密文方式通过网络进...
API管理风险:如何确保您的API安全与可靠?
weixin_19970108018的博客
08-27 1515
制定明确的API策略,包括使用规则、安全要求、数据保护和合规性要求等。确保所有开发人员和用户都清楚了解API的规则和限制。
开放式API安全防护的七大原则
热门推荐
架构精进之路
01-19 2万+
我是架构精进之路,点击上方“关注”,坚持每天为你分享技术干货,私信我回复“01”,送你一份程序员成长进阶大礼包。 在我们日常工作程序开发过程中,难免会涉及与第三方系统进行数据的交互与...
API 接口的安全处理
API
03-16 9396
背景 开放 API 接口如果没有经过安全处理,则很容易出现三类安全问题,包括信息截获、篡改与泄露。 首先是用户密码容易被截获,比如某家公司在开发开放式 API 时,没有对其进行安全控制,那么该公司的客户信息很容易被黑客截获,黑客在掌握客户的用户名、密码等相关信息与资料后,便能够利用客户的身份来登录,使得客户的隐私信息泄露,黑客便可以轻易地盗刷客户信用卡,使得客户承受损伤;其次是表单数据很容易被篡改,比如某家公司所开发的开放 API 并没有进行过防篡改控制,有客户在购买1000 元产品后,其提交表单被黑客利用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值