午夜在线观看福利,欧洲午夜视频,欧美性视频网站

2019應用程序保護報告：API成黑客眼中肥肉

責編：gltian ｜2019-08-29 14:04:44

F5 Labs 研究人員宣稱，API 已成黑客容易盯上的靶子。

一系列因素導致應用程序編程接口 (API) 成為網絡罪犯眼中易于得手的目標。

網絡安全公司 F5 Labs 日前發布《2019 應用程序保護報告》，探索可用于入侵 API 的各種攻擊技術。

研究人員介紹，導致 API 成黑客攻擊靶子的最大因素，是過于寬泛的權限。在博客帖子中，研究人員 Ray Pompon 和 Sander Vinberg 寫道：因為不是給用戶使用的，API 通常設置為能訪問應用程序環境中的任何數據。

權限用于生成用戶請求并傳入 API，但問題在于，黑客也能很方便地利用這些權限。

由于 API 擁有不受限制的訪問權限，通過 API 實施的攻擊可賦予攻擊者看清一切的可見性。什么都好，直到攻擊繞過用戶身份驗證過程，直達下游應用。由于 API 擁有不受限制的訪問權限，通過 API 實施的攻擊可賦予攻擊者看清一切的可見性。

F5 Labs 將 API 描述為網絡罪犯慣用手法易于突破的目標，指出 API 所用 URI（統一資源標識符）、方法、頭和其他參數可被攻擊者濫用。

研究人員稱：事實上，大多數典型 Web 攻擊，比如注入、憑證暴力破解、參數篡改和會話欺騙，效果驚人。

另一個關鍵問題，則是可見性。研究人員宣稱，業內缺乏對 API 及其安全風險的態勢感知。

研究人員稱：API 本就應該在后臺工作，這沒什么不好；但如果連被黑也發生在后臺，我們全部寶貴資料都在看不見的情況下被盜，就不好了。

業內缺乏對API及其安全風險的態勢感知

正如我們在去年報告的后續跟進中指出的，API 連接的端口往往不止 80/443。它們通常深藏在 Web 服務器某處多層目錄下，其架構細節也往往只有開發團隊才清楚。

現實就是，安全團隊可能看不到自身環境中可能存在有此類潛在影響的連接。

為緩解此類威脅，F5 建議公司企業做到以下幾點：

1. 列出 API 清單，了解其架構和故障模式的影響；

2. 要求 API 身份驗證；限制 API 權限；

3. 加密 API 連接；

4. 使用 API 專用工具，比如代理或防火墻；

5. 運用邊界掃描、漏洞評估和滲透測試等手段測試 API。

上月曝光的 Capital One 黑客案中，檢方宣稱涉案黑客 Paige Thompson 可能入侵了其他 30 多個公司。該報告的發布正值檢方透露該消息之時。但并無證據顯示 Thompson 有意售賣或分發其盜取的數據。

《2019應用程序保護報告》：