需要做什么来保护API?

最新推荐文章于 2024-09-15 20:34:10 发布
最新推荐文章于 2024-09-15 20:34:10 发布
阅读量496 收藏 7
点赞数 18
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51301115/article/details/142170306
版权

应用程序编程接口是现代应用程序架构解决方案,可通过改进连接性和启用可组合架构来支持数字业务。它们用于支持跨网络、移动和其他渠道的现代用户体验。它们还支持内部流程、客户和合作伙伴的集成和自动化。

在过去十年中,API 部署呈爆炸式增长,但随着这种流行,恶意行为者也开始关注。许多 API 安全事件已经发生,尤其是数据泄露。这些事件提高了人们对 API 漏洞的认识,但由于由 API 交互组成的大量 Web 流量,攻击和违规行为仍在继续发生。

许多组织保护 API 流量的方式与保护其遗留应用程序的方式相同。但是,通用应用程序安全控制不足以保护 API 事务。安全和风险管理领导者必须与应用技术专家合作,建立并完善他们的 API 安全计划,以应对这种日益增长的威胁形势

可见性:环境中存在哪些 API?

许多 API 泄露事件都有一个共同点:被泄露的组织直到为时已晚才知道他们的 API 不安全。API 安全的第一步是发现组织从第三方交付或使用的 API。

移动和 Web 应用程序是一个很好的起点。API 的另一个常见来源是应用程序集成,它涉及集成产品用来提供对应用程序或数据的访问的 API。一些组织可能还有一个开放的 API 程序,包括开发人员门户,并且必须保护这些公共 API。最后,考虑组织使用的任何第三方 API。

发现组织的 API 后,下一步是根据曝光度、业务环境和技术对它们进行分类。然后,确定 API 的潜在漏洞。最常见的 API 漏洞路径包括:

  1. 存储库和存储中的不安全 API 密钥:API 密钥或其他密钥,例如 SSH 密钥或 SSL/TLS私钥,可能会在基于云的存储或对公众开放的代码存储库中被发现。
  2. 应用程序中的硬编码 API 密钥: API 密钥或其他凭据可能在 Web和移动应用程序中进行硬编码,并在物联网设备或移动应用程序中受到反编译攻击。
  3. API 逻辑缺陷:API可能存在可被利用的错误或其他逻辑缺陷。
  4. 嗅探 API 调用:可以通过中间人方法嗅探 API 流量,从而发现 API 密钥或不安全的API。

访问控制:谁在访问 API,有什么访问权限?

访问控制是 API 安全的重要组成部分。它包含身份验证(验证主体身份的过程)和授权(确定主体是否有权访问特定资源的过程)。

访问控制功能中的漏洞通常是针对 API 的最常见攻击点,会导致数据泄露、丢失和操纵。Web 应用程序历来使用基本身份验证(用户名和密码)来允许用户访问。当组织开始部署 API 时,通常会继承这种机制。

成熟的组织使用现代 API 访问控制机制。现代 API 访问控制策略基于对组织用例的四个关键维度的评估:

  1. 身份功能:API用例的身份功能是身份验证、授权和加密。身份结构,即需要协调在一起以解决身份需求的工具,根据组织范围内的身份功能而有所不同。
  2. 应用程序:移动应用程序、内部或外部服务、Web应用程序和设备都是访问受保护 API的应用程序示例。这些应用程序通常由用户或机器身份(例如服务帐户)操作。不同的应用程序在如何验证自己和操作它们的人类用户方面具有不同的功能。
  3. 调解器:API受调解器(如企业或内部 API 网关)以及更灵活的调解器(如部署在 API 附近的边车)的保护。评估调解器的身份能力可确保 API访问策略包括调解器中的正确集成和执行。它还使组织能够评估访问管理工具对所用中介的支持。
  4. 开发人员支持:开发人员支持确保开发人员可以发布和控制他们自己的API,并控制他们在他们的 API中需要哪些属性。同时,控制必须基于委托模型,在该模型中,中央团队控制总体策略。了解开发人员支持维度可确保该策略包括正确的工具支持,例如开发人员自助服务界面。

为确保进行适当的风险评估和分类,请使用这些维度来定义组织的 API 访问控制要求。

威胁防护:攻击者如何利用API?

API 安全程序必须防范三种常见的攻击模式:拒绝服务、滥用功能和漏洞利用。API 威胁保护由运行时或外围技术组成,可识别和防止属于这三类的攻击。

典型的威胁防护技术包括:

  1. DDoS 保护:能够处理容量攻击的解决方案包括内容交付网络或 CDN、基于云和设备的 Web 应用程序防火墙或 WAF,以及云清洗中心或CSC 平台。对于应用层 DoS 攻击,具有 DoS 功能的硬件或基于云的 WAF可能是合适的。一旦攻击逐渐增加并开始淹没网络链接,就需要 CDN 或外部 CSC。
  2. WAF:一种解决方案,通过过滤和监控 HTTP流量以阻止常见的漏洞利用攻击,为 API 提供有限的保护。一些 WAF 还提供机器人缓解和应用程序或第 7 层 DDoS 保护。
  3. Bot缓解:一种解决方案,可为多种类型的脚本攻击提供高级保护。这些解决方案在这方面比一般的 WAF更有能力,这使它们成为防止滥用的可能的首选或补充。
  4. 专门的 API保护:通过结合参数和有效负载的内容检查、流量管理和异常检测的流量分析,提供针对 API 攻击和滥用的保护的解决方案。

这些技术共同构成了 Web 应用程序和 API 保护或 WAAP 解决方案。除了 WAAP 功能外,组织还经常将 API 网关和管理系统添加到其基础架构中。

随着 API 威胁态势的增长,应用程序安全领导者必须建立并完善他们的 API 安全计划,以应对这种日益增长的威胁态势。这种方法可以帮助组织建立全面的 API 可见性计划,设置机制来检查 API 是否符合组织的身份验证和加密标准,并为关键的面向外部的 API 部署专门的威胁防护。

亿林安全
关注
【微服务 Spring Cloud 5】云原生中为什么需要API网关?
学Java,找哪吒
04-12 1万+
越来越多的组织正在转向 API 驱动的架构。 这种强大的方法可帮助他们快速创新,与同类最佳的外部服务集成,并以前所未有的速度交付新服务。 然而,随着 API 对经营业务变得越来越重要,提供可靠和一致的服务同时保护 API 不被滥用或利用变得至关重要。 API 网关提供了一层安全和控制,对于保护您的数据和保持 API 的高可用性至关重要。 在这篇博文中,我们将探讨这些好处。 API 的状态 ...
fastapi-jwt:通过使用JSON Web令牌(JWT)启用身份验证来保护FastAPI应用程序
02-16
使用基于JWT令牌的身份验证保护FastAPI 是否想学习如何构建? 查看。 要使用这个项目吗? 货叉/克隆 创建并激活虚拟环境: $ python3 -m venv venv && source venv/bin/activate 安装要求: (venv)$ pip ...
什么是API 网关?为什么需要 API网关?
jjc4261的博客
05-28 1677
在维基百科中,网关的定义是这样的:在计算机网络中,网关(Gateway)是转发其他服务器通信数据的服务器,接收从客户端发送来的请求时,它就像自己拥有资源的源服务器一样对请求进行处理。有时客户端可能都不会察觉,自己的通信目标是一个网关。从定义可以看出,网关也是一组服务器,它位于客户端和服务器之间,是客户端请求进入服务器的唯一入口,
API – 什么是 API
Mtxxd的博客
05-21 1274
微服务是一种架构风格,它将应用程序构建为小型、独立且松散耦合的服务的集合。每个微服务都旨在执行特定的业务功能,并且可以通过轻量级协议(例如 HTTP 或消息系统)与其他微服务进行通信。微服务通常独立部署,并且可以水平扩展,从而实现更大的灵活性和弹性。只要它们遵守通用的通信协议,就可以使用不同的技术和编程语言来开发和部署它们。使用微服务架构的好处包括更快的开发和部署时间、改进的可扩展性、更好的故障隔离以及更轻松的维护和更新。然而,实现微服务架构还需要仔细的设计和管理,以确保服务之间正确的通信和协调。
API是什么?有哪些常见的API
热门推荐
半旧。
02-27 2万+
转自 https://blog.csdn.net/cumtdeyurenjie/article/details/80211896#t2 和https://blog.csdn.net/weixin_38174062/article/details/80829912非原创,为便于学习转载,侵权删。 阅读本文大概需要 5~6 分钟 大家可能最近经常听到 API 这个概念,那什么是API,它又有...
什么是 API 安全?详细解析
07-12 1369
API 安全是指保护 API 免受恶意攻击和滥用的安全措施。认证和授权:API 需要对请求进行身份验证和授权,以确保只有授权用户才能访问受保护的资源。加密和传输安全API 通常需要使用 SSL/TLS 或其他加密协议,以确保请求和响应数据在传输过程中得到保护。输入验证和防止注入攻击:API 需要对输入数据进行验证和过滤,以防止 SQL 注入、跨站点脚本攻击(XSS)等攻击。防止拒绝服务攻击:API 需要对请求进行限制和过滤,以防止恶意攻击者对 API 进行过度使用和占用资源。
什么是 API(应用程序接口)?
Noah_ZX的博客
02-15 4693
是一种软件中介,它允许两个不相关的应用程序相互通信。它就像一座桥梁,从一个程序接收请求或消息,然后将其传递给另一个程序,翻译消息并根据 API 的程序设计执行协议。API 几乎存在于我们数字生活的各个方面,可以说是我们现代插件、数字接口和软件通信环境的隐藏支柱。它们将所有内容连接在一起,使软件系统协调一致地工作。API 对企业用户来说大多是不可见的,但为软件程序开辟了广泛的可能性。它们的工作原理是以受控的方式开放软件的一小部分功能和数据。
HookAPI.rar_delphi 保护_hookapi_hookapi delphi_进程 保护_进程保护
09-14
总的来说,`HookAPI`在Delphi中的实现为开发者提供了强大的功能,但也需要谨慎使用,以平衡安全性和程序性能。理解和掌握这些技术,对于编写安全的、高性能的应用程序至关重要。同时,持续关注新的安全威胁和防护...
APIHOOK.rar_APIHOOK_Process_hook api_hook api basic_进程保护
09-19
在这个特定的描述中,“API HOOK实现进程保护”,意味着通过API Hook技术来防止或限制其他程序对指定进程的非法操作。例如,通过钩住“CreateProcess”、“OpenProcess”等与进程创建和访问相关的API,可以阻止其他...
pix-apiAPI像素:APIArranjo de PagamentosInstantâneosBrasileiro
02-01
开发者通常会使用像pix-api-master这样的代码库来获取API的源代码,以便在本地环境中进行开发和测试。这包括编写和调试API客户端,模拟服务器响应,以及进行性能和安全性测试。 7. **文档**: 为了方便开发者理解...
AI在医学领域:医学AI的安全与隐私全面概述
声纹感知 洞察芯声
09-12 1390
本文通过系统化地检查医疗应用领域并为未来的攻击研究奠定基础,提供一个医疗领域AI攻击研究的全面视角。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1149
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
无限边界:现代整合安全如何保护
最新发布
网络研究观
09-15 773
通过工具之间更有效的数据共享,整合的安全平台还应提供更紧密的安全集成以及更强的系统可视性(无论是在云端还是在本地),让您能够看到无限周界的边缘。
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 523
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火花的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 432
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1763
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
消防指挥中心控制台:守护安全的关键枢纽
JiaDeLi_console的博客
09-11 479
它不仅是信息的接收者,更是行动的发起者,协调各方资源,确保消防救援工作高效、有序地进行。消防指挥中心控制台是消防救援工作的关键环节,它以先进的设计、强大的功能和不断升级的科技,为守护人民生命财产安全发挥着不可替代的作用。在未来,随着科技的进一步发展,相信消防指挥中心控制台将变得更加智能、高效,为构建更加安全的社会环境贡献更大的力量。同时,控制台还配备了舒适的座椅,为指挥人员提供良好的工作条件。在消防应急救援的战场上,嘉德立消防指挥中心控制台犹如一座坚实的堡垒,发挥着至关重要的作用。二、先进的设计与功能。
稀土阻燃剂:电子设备的安全守护者
Kingcela1的博客
09-11 663
稀土阻燃剂在电子设备中的应用主要是通过提升材料的阻燃性能、热稳定性和环保安全性,来满足现代电子产品对高性能和安全性的需求。随着技术的不断进步,稀土阻燃剂在电子设备领域的应用前景将会更加广阔。
信刻光盘安全隔离与信息交换系统
cdprinter的博客
09-11 435
信刻按需研制的光盘安全隔离与信息交换系统,应用不同等级网络之间进行可靠、高效的安全数据交换,实现A网-B网,B网-A网双向摆渡。集数据自动摆渡、用户管理、日志管理、加密及杀毒、数据检查与过滤、校验、安全审计等功能于一体。
在FastAPI中如何实现角色或权限控制来进一步保护路由?
09-12
在FastAPI中实现角色或权限控制,可以通过中间件或者依赖注入来完成。一种常用的方法是使用依赖注入结合用户信息和角色权限来控制访问。具体步骤如下: 1. 定义用户模型和权限模型:首先,你需要定义用户模型和权限模型,以便在应用程序中使用它们来验证用户的角色和权限。 ```python from pydantic import BaseModel class User(BaseModel): id: int username: str roles: list[str] class Role(BaseModel): name: str permissions: list[str] ``` 2. 创建依赖项来验证用户角色或权限:使用FastAPI的依赖注入功能,创建一个函数来检查用户是否具有足够的权限访问某个路由。 ```python from fastapi import HTTPException, Depends from fastapi.security import OAuth2PasswordBearer oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") def get_current_user(token: str = Depends(oauth2_scheme)): # 这里应该有一个函数来验证token,并返回用户信息 # 如果验证失败,可以抛出HTTPException user = verify_token(token) return user def get_current_active_user(current_user: User = Depends(get_current_user)): if current_user.disabled: raise HTTPException(status_code=400, detail="Inactive user") return current_user def has_permission(user: User = Depends(get_current_active_user), permission: str = ""): # 检查用户是否具有所需权限 if permission and permission not in user.permissions: raise HTTPException(status_code=403, detail="Operation not permitted") return True ``` 3. 在路由中使用依赖项来保护路由:在定义路由时,可以将权限依赖项添加到路由函数中,以确保只有具有正确权限的用户才能访问。 ```python from fastapi import APIRouter router = APIRouter() @router.get("/protected-route") def protected_route(user: User = Depends(has_permission)): return {"user": user} ``` 4. 配置中间件或依赖项来提供用户角色信息:这通常涉及到设置一个全局中间件,该中间件会检查每个请求并附加用户信息,这样依赖项就能使用这些信息来执行权限检查。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值