聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
安全分析师警告称去年API攻击数量激增,多数企业仍然遵循不正确的解决实践。
Salt Security 公司发布报告称去年API攻击流量上涨了681%,而整体的API攻击流量增长了321%。这些数据表明随着行业采用API解决方案,针对它们的攻击也在急剧增长。
报告数据源自对在规模不一的企业中工作的250名员工的调查。
API 攻击
API(应用程序编程接口)是一种软件接口,支持依赖连接交换数据的在线服务。这些连接需要免受未认证访问攻击,否则,任何人都能够窃取用户和程序之间的交互内容。
API 公司滥用API标准窃取数据、发动DDoS 攻击、SQL注入、中间人攻击、传播恶意软件或允许任何人认证为用户。
这些攻击的风险影响大且后果严重,这就是为何 Salt Security 公司调查发现,62%的受访者因为担忧API安全问题而延迟部署应用。
错误的应对实践
Salt Security 公司发现问题在于过于依赖预生产API安全和在开发阶段专注于识别安全漏洞。
事实表明,多数API攻击利用的逻辑缺陷只有在应用程序进入运行时阶段才会明了。然而,仅有四分之一的企业在最后仍然部署安全团队。另外,34%的企业缺乏任何API安全策略,因此只依赖于API解决方案供应商。
最后,数据表明,仅部署API网管或WAFs不足以检测和停止XSS、SQL和JSON注入攻击,因为只有在威胁行动者完成必要的侦察并识别出可用的安全差距后才会部署这些措施。
不断提高的复杂度
多数组织机构要求在初次应用后更新API和丰富某些特性。报告发现,83%的受访者对于清单和文档反映所有已有API函数没有信心。43%的受访人员担心不再活跃于应用中但仍可遭攻击者滥用的过时API函数。
安全建议
Salt Security 公司表示,行业看待和处理API安全的方式正在发生改变但提醒称尚未实现目标。
报告提出的建议包括:
为API的整个生命周期定义健壮的API安全策略
验证当前的API设计和现有控制并评估现有风险水平
在所有的app环境(本地、云、容器、遗留等)中启用无障碍API安全
使用云数据识别恶意侦查措施的模式并领先一步
降低对“左移”代码审计技术的依赖,更加关注运行时安全
推荐阅读
3年后准确率仍达97%:利用谷歌语音转文本 API 绕过reCAPTCHA
无法检测的新型 Linux 恶意软件利用 Dogecoin API 攻击 Docker 服务器
原文链接
https://www.bleepingcomputer.com/news/security/attacks-abusing-programming-apis-grew-over-600-percent-in-2021/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
178
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
