欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
API NEWS | API进化下的威胁升级:攻击速度刷新纪录
2023-07-06阅读:407
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
根据Wallarm的研究,他们分析了350,000份报告,并发现了来自650个不同供应商的337个专门针对API的漏洞。在追踪了115个与这些漏洞相关的已公开漏洞后,报告得出了结论:API的威胁形势正变得越来越危险。
报告得出的结论是,根据2022年的数据,API正面临越来越多的攻击,并且存在以下引人注目的趋势:
报告解读,2022年API威胁的数量翻了一番,而且在很多情况下,漏洞在被公开披露之前就已存在。注入攻击成为攻击者主要使用的手法,并且攻击者更频繁地针对DevOps和云原生平台。
小阑建议:
为了提高API的安全性并有效应对API威胁形势,建议大家:
采用安全开发生命周期(SDLC): 在开发API时,将安全性作为一个关键指标,并将其纳入整个开发生命周期中。这包括对需求分析、设计、编码、测试和部署阶段进行安全审查和测试,以确保API在每个阶段都符合最佳安全实践。这是一篇关于Twitter API中断阻止登录的文章。全球范围内的Twitter用户在登录、退出账号、分享推文、点击链接以及查看图片时,遇到了一系列问题,Twitter API的中断阻止了用户的访问。这种影响范围广泛,几乎涉及到了所有使用Twitter的用户。
简单来说,由于对API后端进行了一些相对较小的更改,却引发了重大的中断问题,影响到了用户使用API以及移动和Web应用程序。全球范围内都有报告指出这次中断,用户们看到了与API访问相关的各种错误信息。甚至Twitter的支持人员在他们的Twitter帖子中承认了这次中断,埃隆·马斯克后来也表示“一个小小的API更改竟然会产生如此巨大的影响,并且最终需要完全重写”。
这次中断发生在Twitter宣布计划关闭免费访问层之后不久。很显然,考虑到Twitter的规模,重新设计整个API系统将导致一定程度的不稳定。
API的中断导致用户无法正常访问。这对于用户来说会带来一系列问题:
服务不可用: 由于API的中断,用户将无法使用相关的移动应用程序、网站或其他基于该API构建的服务。这将使他们无法完成所需的操作或获取必要的信息。小阑解读:
为了避免这种API中断带来的问题,可以考虑以下几点措施:
定期备份和监控: 确保对API进行定期备份,这样在出现中断时可以快速还原至最近的可用状态。同时,设置监控系统来实时监测API的运行状态,及时发现并解决潜在问题。在数字化时代,API扮演着极其重要的角色,它们就像是不同系统之间的桥梁和通信管道,让不同的组织和应用之间能够共享数据和功能。预计2024年API请求命中数将达到42万亿次,这显示了API在全球范围内的广泛应用。与此同时,API也面临着严峻的安全挑战,据Gartner预测:到2024年,由API安全引起的数据泄露风险将翻倍。最近,Dana Epp报道了OWASP API安全TOP 10内容发生的变化。
2019年,OWASP首次发布了API Security Top 10,后来随着API应用的发展和安全实践的深化,OWASP于2023年正式发布了API Security Top 10的内容更新,对API身份认证和授权的管理进行了重点突出;此外,自动化威胁防护缺失和API供应链安全风险等也被首次加入到了清单中。
之前的“API8:2019 -注入”和“API10:2019 -日志记录和监控不足”这两个缺陷类别从前10名列表中被移除了。这并不意味着注入攻击减少了,而是特定于API的攻击变得更加突出。同时,日志记录和监控的不足一直是一个与软件安全相关的重要问题,API开发应该遵循最佳实践指南。然后,新增了三个内容:
首先是 “API6:2023 - 服务器端请求伪造” ,这反映出针对API的攻击有所增加,将请求重定向到API控制范围之外的URL,可能带来未经授权的数据泄露、数据篡改、服务中断等后果。
总结一下,OWASP API TOP10这些趋势变化反映出了特定的API攻击威胁突出化,说明在信息化和数字化快速发展的时代,传统的身份验证方式已经无法满足日益增长的安全需求,需要采用更多元化、智能化的身份认证方式来提高系统、服务、数据的安全性。
小阑分析:
增加了“服务端请求伪造漏洞”内容,说明这是一种非常危险的安全漏洞,攻击者可以利用该漏洞窃取敏感信息、发起内网攻击、进行DoS攻击等,同时表明了在服务端请求处理过程中,输入验证与过滤的重要性。加强对SSRF漏洞的防范,可以有效提高应用程序的安全性。
增加了“缺少对自动化威胁的防护”内容,说明在实际应用中,很多企业缺乏对自动化攻击的防护措施,存在一定的安全风险。自动化攻击可以通过机器学习算法、大数据分析、自动化工具等方式,快速、准确地扫描目标系统漏洞或发起攻击,对系统造成严重威胁。
增加了“第三方API的不安全调用”内容,说明不安全的第三方API可能会导致系统遭受攻击,企业需要加强安全意识,选择可信赖的服务提供商,进行充分的安全测试和验证,限制API的权限并监控API的使用情况,可以保障系统的安全性。
随着API的广泛及深入应用,其重要性在日益增加;攻击者对API的利用也变得更加普遍和有组织性。了解和评估API安全风险是保护应用程序和敏感数据免受恶意攻击的关键步骤。OWASP API Security Top 10为我们提供了一个框架,可以识别和理解常见的API安全风险,并指导我们制定相应的安全对策。通过深入了解每个风险的特点和潜在影响,我们能够更好地规划和实施必要的防御措施。
感谢 http://APIsecurity.io 提供相关内容
地址:北京市海淀区海淀大街38号银科大厦6层
Copyright © 2022 北京星阑科技有限公司. 京ICP备19053406号
提交成功