網(wǎng)絡(luò)攻擊新載體:API
責(zé)編:gltian |2018-07-09 13:26:56隨著對(duì)企業(yè)網(wǎng)絡(luò)的攻擊愈趨復(fù)雜,公司企業(yè)紛紛購(gòu)入最新防火墻技術(shù)、數(shù)據(jù)及終端防護(hù)、入侵預(yù)防技術(shù)等強(qiáng)化升級(jí)自身邊界安全。但道高一尺魔高一丈,黑客們也邁向了新的弱點(diǎn),找尋新的漏洞利用途徑。很多安全專家認(rèn)為,下一波企業(yè)黑客攻擊事件將會(huì)通過(guò)應(yīng)用程序編程接口(API)利用來(lái)進(jìn)行。
事實(shí)上,網(wǎng)絡(luò)罪犯?jìng)冊(cè)缫验_(kāi)始盤(pán)算利用API執(zhí)行攻擊了。Panera Bread 數(shù)據(jù)泄露事件就是其中一個(gè)案例。這家烘焙連鎖店的網(wǎng)站上開(kāi)放了一個(gè)未經(jīng)驗(yàn)證的API終端,任何人都可以通過(guò)該API查看其客戶信息,比如用戶名、郵箱地址、電話號(hào)碼、信用卡后四位、生日等等。最終,8個(gè)月的時(shí)間里,該公司3700萬(wàn)客戶數(shù)據(jù)被泄。由此,如何在不影響敏捷開(kāi)發(fā)與功能擴(kuò)展效益的情況下最小化API相關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的問(wèn)題,引起了業(yè)界注意與討論。
應(yīng)用程序開(kāi)發(fā)中的API使用已成為新的實(shí)際標(biāo)準(zhǔn),通過(guò)集成第三方服務(wù)的功能,開(kāi)發(fā)人員不用再?gòu)臒o(wú)到有自己構(gòu)建所有功能。這么做可以加快新產(chǎn)品及服務(wù)的開(kāi)發(fā)過(guò)程。消費(fèi)研究公司 One Poll 的一項(xiàng)調(diào)查表明,公司企業(yè)平均管理著363個(gè)API,其中69%的公司會(huì)向公眾及其合作伙伴開(kāi)放這些API。開(kāi)發(fā)人員可以通過(guò)搜索API庫(kù)來(lái)增強(qiáng)其代碼,比如 API Hound 庫(kù)就使用機(jī)器掃描器收納了5萬(wàn)多個(gè)API,ProgrammableWeb則維護(hù)著全球最大的人工收錄的API目錄(內(nèi)含1.7萬(wàn)個(gè)以上API)。
盡管API支撐著用戶早已習(xí)慣的互動(dòng)式數(shù)字體驗(yàn),是公司數(shù)字化轉(zhuǎn)型的基礎(chǔ),但它們同時(shí)也為惡意黑客提供了訪問(wèn)公司數(shù)據(jù)的多種途徑,甚至能被用于引發(fā)大范圍業(yè)務(wù)中斷。利用API的常見(jiàn)攻擊方式包括:
API參數(shù)篡改——黑客常用該技術(shù)逆向工程API或獲得敏感數(shù)據(jù)的訪問(wèn)權(quán)。
會(huì)話cookie篡改——此類攻擊試圖利用cookie繞過(guò)安全機(jī)制或向應(yīng)用服務(wù)器發(fā)送虛假數(shù)據(jù)。
中間人攻擊——通過(guò)監(jiān)聽(tīng)API客戶端和服務(wù)器之間未經(jīng)加密的連接,黑客可獲取到敏感數(shù)據(jù)。
內(nèi)容篡改——通過(guò)注入惡意內(nèi)容(比如往 JSON Web 標(biāo)記中下毒),攻擊者能在后臺(tái)部署并執(zhí)行漏洞利用程序。
DDoS攻擊——攻擊者可利用編寫(xiě)糟糕的代碼通過(guò)發(fā)送無(wú)效輸入?yún)?shù)來(lái)消耗計(jì)算機(jī)資源,造成基于API的Web應(yīng)用服務(wù)中斷。
公司企業(yè)可采取以下預(yù)防措施來(lái)減少API威脅風(fēng)險(xiǎn):
1. 安全思維貫徹開(kāi)發(fā)過(guò)程始終
一個(gè)很不幸的現(xiàn)狀是,軟件開(kāi)發(fā)過(guò)程中DevSecOps(敏捷開(kāi)發(fā)運(yùn)維安全)往往被忽視,甚至面向公網(wǎng)的API安全也被忽視。開(kāi)發(fā)人員需在整個(gè)開(kāi)發(fā)過(guò)程中考慮API使用的安全影響,多想想API會(huì)在哪些方面被用于惡意目的。
API安全的基礎(chǔ)在于實(shí)現(xiàn)可靠的身份驗(yàn)證和授權(quán)原則。開(kāi)發(fā)人員常會(huì)使用來(lái)自外部過(guò)程(例如注冊(cè)API時(shí))的訪問(wèn)憑證,或通過(guò)單獨(dú)的機(jī)制(例如OAuth)來(lái)訪問(wèn)API。憑證隨每次訪問(wèn)請(qǐng)求發(fā)送給API,API在處理請(qǐng)求之前先驗(yàn)證憑證的有效性。
2. 應(yīng)用行業(yè)安全最佳實(shí)踐和標(biāo)準(zhǔn)
應(yīng)用編碼最佳實(shí)踐并密切關(guān)注常見(jiàn)API漏洞(例如SQL/腳本注入和身份驗(yàn)證漏洞),應(yīng)成為開(kāi)發(fā)人員和DevSecOps人員的核心最佳操作。編碼最佳實(shí)踐和常見(jiàn)API漏洞信息可在開(kāi)放Web應(yīng)用安全計(jì)劃(OWASP)中找到。
3. 通過(guò)API網(wǎng)關(guān)進(jìn)行監(jiān)視
將獨(dú)立的API集中存儲(chǔ)到應(yīng)用代碼庫(kù)中,就可用API網(wǎng)關(guān)來(lái)監(jiān)視、分析和限制流量,最小化DDoS風(fēng)險(xiǎn),實(shí)現(xiàn)預(yù)設(shè)的安全策略(例如身份驗(yàn)證規(guī)則)。One Poll 數(shù)據(jù)顯示,80%的公司企業(yè)使用公共云服務(wù)保護(hù)他們API背后的數(shù)據(jù),大多數(shù)公司綜合使用API網(wǎng)關(guān)(63.2%)和Web應(yīng)用防火墻(63.2%)。
采用這些DevSecOps建議可以最小化與API暴露相關(guān)的安全風(fēng)險(xiǎn),讓?xiě)?yīng)用程序免受網(wǎng)絡(luò)安全事件侵害。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧