API成为网络攻击的主要目标,29%的网络攻击针对API。2024年API滥用和数据泄露预计将翻番。HTTP攻击、SQL注入和数据收集是攻击者常用策略。企业需关注API态势问题如影子端点、未经验证的资源访问和敏感数据泄露,以及运行时问题如数据抓取和JSON属性异常。
前言
API是公司内部许多技术创新的基础。这些创新改善了员工和客户体验。不幸的是,数字创新和API经济的快速扩张为网络犯罪分子提供了新的利用机会。可视性成为关乎API安全的关键方面。一旦影子API或流氓API等盲点被发现,安全团队将会惊觉其系统中存在诸多以前从未意识到的漏洞。
Akamai公司最新发布的《阴影之下:揭示API威胁的攻击趋势》报告中,研究人员强调了一系列针对API的攻击(包括传统的web攻击),并按行业和地区呈现风险概况,以便组织可以更准确地评估自身面临的风险。
一、主要发现
2022年Gartner预计,到2024年,API滥用和数据泄露将几乎翻一番。2023年,29%的网络攻击针对API,这表明API是网络犯罪分子锁定的重点领域。
针对API的攻击包括OWASP TOP 10 API安全性和OWASP TOP 10 Web应用程序安全性中强调的风险,攻击者使用结构化查询语言注入(SQLi)和跨站脚本(XSS)等经过验证的方法渗透目标。
业务逻辑滥用是一个关键问题,因为在没有为API行为建立基线的情况下,检测异常API活动是极具挑战性的。没有解决方案来监控其API活动中的异常情况的组织将面临运行时攻击的风险,例如数据抓取——一种新的数据泄露矢量,使用经过身份验证的API从内部缓慢抓取数据。
API是当今大多数数字化转型的核心,因此了解行业趋势和相关用例(如会员欺诈、滥用、授权和刷卡攻击)至关重要。
二、API:最大的攻击向量
按照设计,API是数据的管道。一旦攻击者
最低0.47元/天 解锁文章
2137
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
