小说排行榜完结版,天蚕土豆

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

API或?qū)⒊蔀橄乱粋€(gè)大型網(wǎng)絡(luò)攻擊向量！

如今，隨著對(duì)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊變得越來越復(fù)雜，很多企業(yè)通過投資最新的防火墻、數(shù)據(jù)和端點(diǎn)保護(hù)以及入侵防御技術(shù)來提高周邊安全性。作為回應(yīng)，黑客正在走上防范阻力最小的道路，并尋找新的開發(fā)途徑。許多安全專家認(rèn)為，下一波的黑客攻擊將通過利用應(yīng)用程序編程接口(API)來實(shí)現(xiàn)。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了云龍免費(fèi)建站歡迎大家使用！

實(shí)際上，網(wǎng)絡(luò)攻擊者在計(jì)劃攻擊時(shí)已經(jīng)瞄準(zhǔn)了API這個(gè)目標(biāo)。面包店咖啡連鎖店P(guān)anera Bread公司的數(shù)據(jù)泄露就是一個(gè)很好的例子，該公司在其網(wǎng)站上留下了未經(jīng)驗(yàn)證的API端點(diǎn)，允許任何人查看客戶信息，如用戶名、電子郵件地址、電話號(hào)碼、信用卡的最后四位數(shù)字、出生日期等。最終，在8個(gè)多月的時(shí)間內(nèi)有3700萬客戶數(shù)據(jù)被泄露。這就提出了一個(gè)問題：如何最大限度地減少與API相關(guān)的不斷增長(zhǎng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，而不會(huì)妨礙他們?cè)诿艚蓍_發(fā)和擴(kuò)展功能方面提供的好處。

API在應(yīng)用程序開發(fā)中的應(yīng)用已經(jīng)成為新的事實(shí)標(biāo)準(zhǔn)，開發(fā)人員利用從第三方提供的服務(wù)集成功能，而不是從頭構(gòu)建所需的全部功能。這為新產(chǎn)品和服務(wù)提供了更靈活的開發(fā)流程。根據(jù)One Poll公司的調(diào)查研究，每個(gè)企業(yè)平均管理363種不同的API，其中這些企業(yè)的三分之二以上(69%)將其API向公眾和他們的合作伙伴開放。開發(fā)人員可以通過搜索諸如API Hound之類的API庫來擴(kuò)充他們的代碼，API Hound使用機(jī)器掃描程序來查找其50,000多個(gè)API，或ProgrammableWeb，它維護(hù)著世界上最大的人工策略API目錄，現(xiàn)在已超過17,000個(gè)。

雖然API支持用戶已經(jīng)習(xí)慣了這種對(duì)企業(yè)數(shù)字化轉(zhuǎn)型至關(guān)重要的交互式數(shù)字體驗(yàn)，但是它們?yōu)楹诳吞峁┝硕鄠€(gè)可以訪問企業(yè)數(shù)據(jù)的場(chǎng)所，甚至可能會(huì)導(dǎo)致大規(guī)模業(yè)務(wù)中斷。而利用API的常見攻擊方法包括：

API參數(shù)篡改 - 黑客通常使用這種技術(shù)對(duì)API進(jìn)行反向工程或獲得對(duì)敏感數(shù)據(jù)的進(jìn)一步訪問。
會(huì)話Cookie篡改 - 這些攻擊嘗試?yán)胏ookie來繞過安全機(jī)制或向應(yīng)用程序服務(wù)器發(fā)送錯(cuò)誤數(shù)據(jù)。
中間人攻擊 - 通過竊聽API客戶端和服務(wù)器之間的未加密連接，黑客可以訪問敏感數(shù)據(jù)。
內(nèi)容操作 - 通過注入惡意內(nèi)容(例如，中毒JSON Web令牌)，可以在后臺(tái)分發(fā)和執(zhí)行漏洞利用程序。
DDoS攻擊 - 通過發(fā)送無效的輸入?yún)?shù)，可能會(huì)使用編寫不佳的代碼來占用計(jì)算機(jī)資源，從而導(dǎo)致API支持的Web應(yīng)用程序中斷。

為了盡量減少他們對(duì)基于API的威脅的暴露程度，組織應(yīng)采取以下預(yù)防措施：

1. 思維安全

不幸的是，DevOps安全(或者現(xiàn)在所稱的DevSecOps )在軟件開發(fā)過程中經(jīng)常被低估，包括確保面向公眾的API。開發(fā)人員需要考慮整個(gè)開發(fā)過程中API使用的安全影響，其中包括API可用于惡意目的的方式。

保護(hù)API的基本組成部分在于實(shí)現(xiàn)可靠的身份驗(yàn)證和授權(quán)原則。對(duì)于API，開發(fā)者通常使用通過外部過程(例如，在注冊(cè)API時(shí))或通過單獨(dú)的機(jī)制(例如，OAuth)獲得的訪問令牌。該令牌與每個(gè)請(qǐng)求一起傳遞給API，并在處理請(qǐng)求之前由API進(jìn)行驗(yàn)證。

2. 應(yīng)用通用的行業(yè)安全最佳實(shí)踐和標(biāo)準(zhǔn)

遵守編碼最佳實(shí)踐并密切關(guān)注最常見的API漏洞(例如，SQL/腳本注入和身份驗(yàn)證漏洞)應(yīng)成為開發(fā)人員和DevSecOps人員的核心最佳實(shí)踐。開放Web應(yīng)用程序安全項(xiàng)目(OWASP)是此類信息的良好來源。

3. 通過API網(wǎng)關(guān)進(jìn)行監(jiān)控

將不同的API存儲(chǔ)在應(yīng)用程序代碼庫中時(shí)，API網(wǎng)關(guān)可用于監(jiān)控、分析和限制流量，從而將DDoS攻擊的風(fēng)險(xiǎn)降至最低，并執(zhí)行預(yù)設(shè)的安全策略(例如，身份驗(yàn)證規(guī)則)。One Poll公司表示，80%的組織使用公共云服務(wù)來保護(hù)API背后的數(shù)據(jù)，大多數(shù)企業(yè)使用API網(wǎng)關(guān)(63.2%)和Web應(yīng)用防火墻(63.2%)的組合。

采用這些DevSecOps建議可以最大限度地降低與API暴露相關(guān)的安全風(fēng)險(xiǎn)，并使應(yīng)用程序免受網(wǎng)絡(luò)安全漏洞的威脅。

網(wǎng)頁題目：API或?qū)⒊蔀橄乱粋€(gè)大型網(wǎng)絡(luò)攻擊向量！
文章路徑：http://fisionsoft.com.cn/article/cdghhec.html

新聞中心

其他資訊