API 对于构建坚固且持续的通信桥梁至关重要,该桥梁使设备能够无缝传递所需信息。然而黑客采用多种方式来利用 API 并破坏目标设备,这种 API 开发是对 API 安全的潜在威胁。如果在 API 设计的威胁建模阶段没有考虑到执行锁定端口,并且没有添加补偿控制,那么这些 API 就有可能被“滥用”。API 滥用是指错误处理 API、获得未经批准的访问和修改关键功能的行为,以便 API 可用于攻击服务器或使服务器超载等敌对过程。它是在机器人、网络钓鱼攻击或手动插入恶意代码的帮助下执行的。
由于API通常对应着大量高价值数据,也被各种自动化的爬虫工具高度关注,平台运营者饱受薅羊毛、数据窃取的干扰,而API的使用也常受到流量占用等威胁的影响,无法正常工作。
企业往往会因为他们的 API 通过了漏洞评估而觉得企业的 API 是安全且“完美”的。但最大的 API 保护缺口是对向合作伙伴开放的 API 的保护,这些 API 很容易被滥用。即使 API 编写得非常完美且没有漏洞,也可能以意想不到的方式被滥用,从而暴露共享它们的组织的核心业务功能和数据。
为什么API总被攻击者盯上?概括来说,有三个原因:一、目标好找:API的职责就是应用之间的调用,天然就是公开且暴露的;二、攻击潜在收益高:API携带大量重要数据和认证信息,一旦攻击者成功突破 API。可直达核心系统。三、攻击防范较困难:大量的API权限控制不够精细,很容易被攻击者找到漏洞,从而轻易绕过边界防护。
最典型的例子就是 2018 年剑桥分析公司 (CA) 丑闻。在该事件中,CA 利用 Facebook 的开放 API 收集了至少 8700 万用户的大量数据。这是通过使用 Facebook 测验应用程序来实现的,该应用程序利用了一个允许第三方应用程序收集有关测验者的信息的许可设置,以及他们所有朋友的兴趣、位置数据等。这些信息随后被出售给各种政治活动。其全部影响可能永远不得而知,但公认的影响对2016年美国总统大选和英国“脱欧”公投产生了重大影响。该事件还导致 Facebook 的市值立即遭受超过 1000 亿美元的打击,罚款超过数十亿美元,并在数年后一直成为政府监管机构的目标。
所有这些都不涉及利用 Facebook API 基础设施中的基础设施漏洞。Facebook 暴露了一个最终被滥用的核心业务 API,而 CA 只是简单地以创建它时未打算或未预料到的方式使用了 Facebook 的公共 API。
企业也可以通过以下几种方法来避免api被攻击:
1. 定期更新API版本:通过升级API,可以修补先前版本中的漏洞和缺陷,提高程序的安全性。
2. 限制API的访问权限:正确设置API的访问权限是防止安全威胁的有效方法,只有在需要调用时,才允许开放。
3. 对输入数据进行过滤检查:对输入的数据进行检查和过滤,防止过多数据对API请求造成攻击。
4. 对代码进行安全审查:代码审查是一个重要的方法,可以减少代码中漏洞和安全缺陷的数量,并在发现安全漏洞时及时修复。
5. 限制API调用频率:合理设置API的最大请求数和最大速率,以避免频繁请求造成的安全问题。
数聚变具有强大的集成能力,能够无缝连接企业内部和外部的系统、应用和数据源。它支持多种集成方式,包括API集成、数据集成等,使得企业能够实现系统之间的快速集成和数据的实时传输。无论是与内部系统的集成,还是与合作伙伴和第三方服务的集成,数聚变都能够提供灵活、可扩展的解决方案。
更多信息请点击了解:
https://apifusion.goldwind.com/Index/
3703
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
