API NEWS | API进化下的威胁升级：攻击速度刷新纪录

技术博客

2023-07-06阅读：407

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

一篇关于攻击者利用API漏洞速度快速增长的报告
一篇关于Twitter API中断阻止登录的文章
一篇关于OWASP Top 10内容变更的文章

攻击者利用API漏洞速度快速增长

根据Wallarm的研究，他们分析了350,000份报告，并发现了来自650个不同供应商的337个专门针对API的漏洞。在追踪了115个与这些漏洞相关的已公开漏洞后，报告得出了结论：API的威胁形势正变得越来越危险。

报告得出的结论是，根据2022年的数据，API正面临越来越多的攻击，并且存在以下引人注目的趋势：

API攻击飙升：报告显示，对观察到的API的攻击增长了197%。简而言之，攻击者正在以迅猛的速度增加对API的攻击次数。
CVE激增：有关常见漏洞和公开披露（CVE）的数量增加了78%。这意味着攻击者有更多的攻击方式和漏洞利用选项。
利用时间缩短：令人担忧的是，利用API漏洞所需的时间明显缩短，这让保护API安全变得更加困难。报告中引用的数据表明，攻击者甚至在CVE发布之前就开始利用零日漏洞，而这段时间已经从过去的58天减少到几乎为零。

报告解读，2022年API威胁的数量翻了一番，而且在很多情况下，漏洞在被公开披露之前就已存在。注入攻击成为攻击者主要使用的手法，并且攻击者更频繁地针对DevOps和云原生平台。

小阑建议：

为了提高API的安全性并有效应对API威胁形势，建议大家：

采用安全开发生命周期（SDLC）：在开发API时，将安全性作为一个关键指标，并将其纳入整个开发生命周期中。这包括对需求分析、设计、编码、测试和部署阶段进行安全审查和测试，以确保API在每个阶段都符合最佳安全实践。
强化身份验证和授权机制：为API实现强大的身份验证和授权机制，例如使用API密钥、令牌或OAuth等方式。确保只有经过认证和授权的用户能够访问和使用API，以防止未经授权的访问和恶意操作。
限制敏感数据的暴露： API设计中要特别注意敏感数据的保护。仅暴露必要的数据字段，对敏感数据进行加密传输，并确保进行适当的访问控制，只允许需要使用这些数据的用户或服务访问。
实施访问控制和权限管理：采用基于角色的访问控制（RBAC）模型，根据用户角色和权限来控制对API资源的访问。同时，定期审查和更新权限设置，确保用户只拥有必要的权限，防止恶意用户滥用API。
定期更新和修补漏洞：及时关注API供应商的安全更新和漏洞公告，并确保及时应用修补程序。定期进行漏洞扫描和安全评估，以发现和修复可能存在的安全漏洞。
监控和日志记录：实施强大的监控机制，对API的使用情况进行实时监测，及时发现异常活动和潜在的安全威胁。同时，建立详细的日志记录系统，记录所有的API请求和响应，以便进行安全审计和故障排查。
提供安全培训和文档：为开发人员、管理员和终端用户提供安全培训和文档，使其了解并遵守最佳的API安全实践。教育用户如何正确使用API，并提供必要的参数和示例以确保他们能够安全地集成和使用API。
与专业安全公司合作：考虑与专业的API安全公司合作，进行API安全审计、漏洞扫描和渗透测试等服务，以获取更全面的安全评估和建议。

Twitter API中断阻止登录？

这是一篇关于Twitter API中断阻止登录的文章。全球范围内的Twitter用户在登录、退出账号、分享推文、点击链接以及查看图片时，遇到了一系列问题，Twitter API的中断阻止了用户的访问。这种影响范围广泛，几乎涉及到了所有使用Twitter的用户。

简单来说，由于对API后端进行了一些相对较小的更改，却引发了重大的中断问题，影响到了用户使用API以及移动和Web应用程序。全球范围内都有报告指出这次中断，用户们看到了与API访问相关的各种错误信息。甚至Twitter的支持人员在他们的Twitter帖子中承认了这次中断，埃隆·马斯克后来也表示“一个小小的API更改竟然会产生如此巨大的影响，并且最终需要完全重写”。

这次中断发生在Twitter宣布计划关闭免费访问层之后不久。很显然，考虑到Twitter的规模，重新设计整个API系统将导致一定程度的不稳定。

API的中断导致用户无法正常访问。这对于用户来说会带来一系列问题：

服务不可用：由于API的中断，用户将无法使用相关的移动应用程序、网站或其他基于该API构建的服务。这将使他们无法完成所需的操作或获取必要的信息。
错误消息：在中断期间，用户可能会遇到与API访问相关的各种错误消息。这些错误消息会给用户带来困惑和不便，因为他们无法获得预期的结果或功能。
影响业务流程：对于那些依赖于API的企业和组织而言，中断可能会严重影响其业务流程。如果他们的核心功能依赖于API，中断将导致业务停滞，造成损失并影响用户体验。

小阑解读：

为了避免这种API中断带来的问题，可以考虑以下几点措施：

定期备份和监控：确保对API进行定期备份，这样在出现中断时可以快速还原至最近的可用状态。同时，设置监控系统来实时监测API的运行状态，及时发现并解决潜在问题。
逐步更新和测试：当需要对API进行更改时，采取逐步更新的方式，而不是一次性全面修改。在每个小的更改后，进行充分的测试，以确保更改不会引发不可预料的问题。
分布式容错策略：建立容错机制，以防止单点故障和中断。例如，可以考虑使用多个服务器或云平台，并在其中一个出现故障时自动切换至备用服务器。
实时通知和支持：在API中断期间，及时向用户提供准确的错误信息和状态更新。同时，提供快速响应和支持，帮助用户解决遇到的问题。

OWASP API安全进化版：TOP 10变革

在数字化时代，API扮演着极其重要的角色，它们就像是不同系统之间的桥梁和通信管道，让不同的组织和应用之间能够共享数据和功能。预计2024年API请求命中数将达到42万亿次，这显示了API在全球范围内的广泛应用。与此同时，API也面临着严峻的安全挑战，据Gartner预测：到2024年，由API安全引起的数据泄露风险将翻倍。最近，Dana Epp报道了OWASP API安全TOP 10内容发生的变化。

2019年，OWASP首次发布了API Security Top 10，后来随着API应用的发展和安全实践的深化，OWASP于2023年正式发布了API Security Top 10的内容更新，对API身份认证和授权的管理进行了重点突出；此外，自动化威胁防护缺失和API供应链安全风险等也被首次加入到了清单中。

之前的“API8：2019 -注入”和“API10：2019 -日志记录和监控不足”这两个缺陷类别从前10名列表中被移除了。这并不意味着注入攻击减少了，而是特定于API的攻击变得更加突出。同时，日志记录和监控的不足一直是一个与软件安全相关的重要问题，API开发应该遵循最佳实践指南。然后，新增了三个内容：

首先是 “API6：2023 - 服务器端请求伪造” ，这反映出针对API的攻击有所增加，将请求重定向到API控制范围之外的URL，可能带来未经授权的数据泄露、数据篡改、服务中断等后果。
其次是 “API08：2023 - 缺乏对自动威胁的保护” ，是指机器人或自动攻击针对API的日益突出。通常涉及理解API的商业模型，发现敏感的业务流程，并自动访问这些流程，从而对业务造成损害。
最后是 “API10：2023 – 第三方API的不安全调用” ，指的是第三方API调用中隐藏的信任危机。开发人员通常更倾向于来自第三方API的数据，而不是用户自己输入的数据。因此，他们可能会对输入验证和数据清理等安全标准采取较弱的保护措施。如果攻击者破坏了第三方服务，他们就有可能通过这个受损的API服务操纵使用相关数据。

总结一下，OWASP API TOP10这些趋势变化反映出了特定的API攻击威胁突出化，说明在信息化和数字化快速发展的时代，传统的身份验证方式已经无法满足日益增长的安全需求，需要采用更多元化、智能化的身份认证方式来提高系统、服务、数据的安全性。

小阑分析：

增加了“服务端请求伪造漏洞”内容，说明这是一种非常危险的安全漏洞，攻击者可以利用该漏洞窃取敏感信息、发起内网攻击、进行DoS攻击等，同时表明了在服务端请求处理过程中，输入验证与过滤的重要性。加强对SSRF漏洞的防范，可以有效提高应用程序的安全性。

增加了“缺少对自动化威胁的防护”内容，说明在实际应用中，很多企业缺乏对自动化攻击的防护措施，存在一定的安全风险。自动化攻击可以通过机器学习算法、大数据分析、自动化工具等方式，快速、准确地扫描目标系统漏洞或发起攻击，对系统造成严重威胁。

增加了“第三方API的不安全调用”内容，说明不安全的第三方API可能会导致系统遭受攻击，企业需要加强安全意识，选择可信赖的服务提供商，进行充分的安全测试和验证，限制API的权限并监控API的使用情况，可以保障系统的安全性。

随着API的广泛及深入应用，其重要性在日益增加；攻击者对API的利用也变得更加普遍和有组织性。了解和评估API安全风险是保护应用程序和敏感数据免受恶意攻击的关键步骤。OWASP API Security Top 10为我们提供了一个框架，可以识别和理解常见的API安全风险，并指导我们制定相应的安全对策。通过深入了解每个风险的特点和潜在影响，我们能够更好地规划和实施必要的防御措施。

感谢 http://APIsecurity.io 提供相关内容

[上一篇]【技术干货】CVE-2023-23638 Apache Dubbo反序列化漏洞分析 [下一篇]WebSocket API安全风险解读了解更多