江苏龙网

  1. 主页 > 生活百科 > >

API攻击原理,以及如何识别和预防

API攻击


API攻击原理,以及如何识别和预防

文章插图
 
攻击者知道在针对API时如何避开WAF和API网关 。以下是一些公司应对API攻击快速增长的示例 。
5月初,Pen Test Partners 安全研究员 Jan Masters 发现,他竟然能够在未经身份验证的情况下,向Peloton的官方API提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防 。
这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息 。
应用程序编程接口(API)允许轻松地机器对机器通信 。如今,应用程序开发中的API使用已成为新的实践标准,通过集成第三方服务的功能,开发人员不用再从无到有自己构建所有功能,这样一来可以加快新产品及服务的开发过程 。
近年来,API的使用更是呈现爆炸式增长 。根据Akamai的说法,API通信现在占所有互联网流量的83%以上 。
尽管API支撑着用户早已习惯的互动式数字体验,是公司数字化转型的基础,但它们同时也为恶意黑客提供了访问公司数据的多种途径,成为诸多安全问题的根源所在 。
除Peloton公司外,最近新闻中曝光的涉及API相关网络安全问题的企业还包括Equifax、Instagram、Facebook、亚马逊以及Paypal 。
API的应用以及不断攀升的攻击趋势根据Salt Security于今年2月发布的报告显示,去年有91%的公司存在与API相关的安全问题 。其中,最常见的是漏洞,涉及54%的受访组织;紧随其后的是身份验证问题(46%受访者)、僵尸程序(20%受访者)以及拒绝服务(19%受访者) 。
80%的组织认为他们的安全工具不能有效地防止API攻击 。此外,Salt Security的调查还发现,三分之二的组织由于与API安全相关的担忧而减缓了将新应用程序投入生产的速度 。即便是拥有Web应用程序防火墙(WAF)和API网关的所有Salt客户,每个月也都要经历多次API攻击,这就意味着这些安全工具已经阻止不了API攻击 。
实际上,根据Salt的说法,WAF和API甚至已经阻挡不住OWASP API安全Top10威胁中90%的因素 。
但糟糕的现实是,超过四分之一的组织正在没有任何安全策略的情况下运行基于关键API的关键应用程序 。例如,Peloton最初就是可供任何人在任何地方通过API访问用户数据,而无需任何身份验证 。
API存在漏洞并不稀奇 。根据Salt Security的报告,82%的组织对了解API详细信息缺乏信心,例如API是否包含个人身份信息(PII),如客户专有网络信息、受保护的健康信息以及持卡人数据等;而22%的组织表示他们无法知道哪些API公开了敏感数据 。
Traceable公司安全研究工程师Roshan Piyush表示,Peloton的错误是使用了未经身份验证的API,而其他遇到相同问题的公司还包括Panera、Fiserv、LifeLock和Kay Jewelers 。可以说,这样的案例举不胜举,归纳来说,就是在开发过程中忽视了对API的身份验证和授权保护等问题 。
一家银行API应用增长的故事一家中型金融机构的网络安全技术经理Jeff Serota表示,在过去的几个月中,他的公司对API的使用急剧增长 。如今,API连接了大约3,000个端点,其中包括内部应用程序、属于业务合作伙伴的应用程序以及面向客户的网站和移动设备 。
【API攻击原理,以及如何识别和预防】不过这仅仅只是开始,按照公司的发展规划,未来三年API应用还将迅速增加 。他们的目标是消除所有本地数据中心,并迁移至适用于所有内容的Web服务和API 。
Serota介绍称,其API调用通过四个主要URL,不同的服务在其API调用中包含不同的参数 。这种方法创建了一个保护层 。他说,由于使用API存在很多风险,所以我们实际上混淆了一些API端点名称,以使其更难被横向攻击或被发现并用于恶意目的 。
在过去的六个月中,该机构还一直在将多个API网关整合到一个主要网关中 。而对于API网关,该公司选择了Apigee,这是google在2016年收购的API安全供应商 。
一些公司在尝试让所有开发人员都拥有一个网关时遇到了问题,或是担心潜在的瓶颈、单点故障或DDoS攻击 。但Serota表示,他们的公司并不存在这种情况 。相反地,他们的开发人员更喜欢API网关方法,因为作为基于SaaS和多区域的服务,API实际上为他们提供了更好的可用性和更低的延迟 。
例如,一个API预计每月将有1000万笔交易,但在启动后的头两周内就发生了2亿笔交易 。而他们并没有感到任何延迟或性能下降 。Serota称,目前,在他们的生产环境中,每月有大约20亿次API调用,而两年前约为8亿次 。


推荐阅读


上一篇:三亚茶叶都有哪些品牌,茶叶都是什么样子的都有哪些形态

下一篇:密蒙花的使用方法,密蒙花米饭的做法