欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

谷歌云API安全的四大支柱
使用 Cerbos，可以为API 添加访问权限
在入侵API时攻击可预测的GUID

谷歌云API安全的四大支柱

本周，在Google Cloud的一篇文章中，他们分享了API安全性的四大支柱。重点介绍了Google自己的Apigee平台的调查结果，及其2022年关于API安全见解和趋势报告。Apigee发现，API流量在2019年至2020年间增加了46%；2021年，超过一半的组织遇到了与API相关的安全威胁。

Google确定的API五大威胁，即：

• 数据抓取：通过滥用分页或枚举方案，通过API泄露过多数据。

• 拒绝服务（DoS）：攻击API（通过批量攻击或分布式机器人程序），以防止用户的合法访问。

• 注入或恶意软件：使用 API 作为恶意软件（例如文件上传）或恶意代码注入。

• 帐户接管 (ATO)：滥用API提供的密码重置机制来接管帐户。

• Scalping and bots：该程序可以自动购买部分商品并高价转售。

研究发现，超过60%的企业需要改进他们的API安全策略。据Google研究表明，企业在构建API安全策略时面临两个主要挑战：缺乏资源（主要是API安全人力资源）和缺乏专业知识。

API安全的四大支柱：

• 通过中央API管理平台，对所有API，实施基本的API安全控制和保护：统一基线策略，适用于所有治理下的API；此策略包括传输安全、速率限制和机器人防御等基础知识。

• 防范DDoS和漏洞利用：使用包括WAF、DDoS防护和威胁情报功能的现代云保护套件。

• 反僵尸程序保护：重点保护API和暴露资源，免受欺诈活动、垃圾邮件和滥用行为的侵害。

• 使用安全的API编码原则：可以提前预防最常见的安全问题类别，创建一个左移安全文化，让开发人员深刻了解到API安全的重要性。

使用Cerbos，为你的API添加访问权限

实施不当的API授权会导致两类最突出的API安全漏洞："API1：2019 — 失效的对象级别授权"和 "API5：2019 — 失效的功能级授权"。导致这两类漏洞出现最常见的原因是，后端权限控制实施不到位。在New Stack的指南中，作者讨论了使用标准授权框架的好处，确保使用统一的应用访问控制方式，可以提高自动化管理并增加API安全性。

作者还强调，授权框架的另一个优势是，开发人员可以专注于代码研发的功能实现，并依靠集中管理来确保使用了正确的应用访问策略。在文章中，作者重点介绍了Cerbos，这是使用基本Python Flask应用程序的开源授权框架之一。

建立Cerbos有三个基本步骤，即：

• 部署并运行Cerbos

• 定义策略

• 检查权限

策略用易于阅读的标记语言定义，如下所示：

在客户端代码中，开发人员只需使用当前用户和目标资源，调用中央Cerbos服务器，即可确定是否允许用户访问该资源。决策逻辑与实施分离，从而让解决方案可扩展并更加灵活。

在入侵API时，攻击可预测的 GUID

现代数字系统的标志之一是可信赖的全局唯一标识符（GUID，也称为UUID），它充当了基础数据或信息的唯一标识符。将GUID视为指向服务器上信息的指针，当客户端访问资源时，会为其提供一个GUID，以便在将来的事务中标识资源。如果攻击者能够猜出有效的GUID，他们可以很容易地对目标系统发起攻击。

在另一篇文章中，作者提供了一个有意思的思路，它讲述了如何根据时间窗口内的可预测性功能，预测使用GUID来攻击v1 GUID系统。Epp甚至提供了一个Python脚本来生成候选GUID，可以执行时间漂移计算，用以解释客户端和服务器之间的时间差异。

总结：

如果发现在端点中使用v1 GUID的目标API，且GUID作为其业务逻辑的一部分，那么就有机会对其进行pwn。

感谢 APIsecurity.io 提供相关内容

[上一篇]1&2月份重点关注的API安全漏洞一览 [下一篇]API NEWS | 七个高质量API风格示例了解更多