共计 3896 个字符,预计需要花费 10 分钟才能阅读完成。
欢送大家围观小阑精心整顿的 API 平安最新资讯,在这里你能看到最业余、最前沿的 API 平安技术和产业资讯,咱们提供对于寰球 API 平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:
一篇对于攻击者利用 API 破绽速度快速增长的报告
一篇对于 Twitter API 中断阻止登录的文章
一篇对于 OWASP Top 10 内容变更的文章
攻击者利用 API 破绽速度快速增长
依据 Wallarm 的钻研,他们剖析了 350,000 份报告,并发现了来自 650 个不同供应商的 337 个专门针对 API 的破绽。在追踪了 115 个与这些破绽相干的已公开破绽后,报告得出了论断:API 的威逼局势正变得越来越危险。
报告得出的论断是,依据 2022 年的数据,API 正面临越来越多的攻打,并且存在以下引人注目的趋势:
API 攻打飙升:报告显示,对察看到的 API 的攻打增长了 197%。简而言之,攻击者正在以迅猛的速度减少对 API 的攻打次数。
CVE 激增:无关常见破绽和公开披露(CVE)的数量减少了 78%。这意味着攻击者有更多的攻击方式和破绽利用选项。
利用工夫缩短:令人担忧的是,利用 API 破绽所需的工夫显著缩短,这让爱护 API 平安变得更加艰难。报告中援用的数据表明,攻击者甚至在 CVE 公布之前就开始利用零日破绽,而这段时间曾经从过来的 58 天缩小到简直为零。
报告解读,2022 年 API 威逼的数量翻了一番,而且在很多状况下,破绽在被公开披露之前就已存在。注入攻打成为攻击者次要应用的手法,并且攻击者更频繁地针对 DevOps 和云原生平台。
小阑倡议:
为了进步 API 的安全性并有效应对 API 威逼局势,倡议大家:
采纳平安开发生命周期(SDLC):在开发 API 时,将安全性作为一个要害指标,并将其纳入整个开发生命周期中。这包含对需要剖析、设计、编码、测试和部署阶段进行平安审查和测试,以确保 API 在每个阶段都合乎最佳平安实际。
强化身份验证和受权机制:为 API 实现弱小的身份验证和受权机制,例如应用 API 密钥、令牌或 OAuth 等形式。确保只有通过认证和受权的用户可能拜访和应用 API,以避免未经受权的拜访和歹意操作。
限度敏感数据的裸露:API 设计中要特地留神敏感数据的爱护。仅裸露必要的数据字段,对敏感数据进行加密传输,并确保进行适当的访问控制,只容许须要应用这些数据的用户或服务拜访。
施行访问控制和权限治理:采纳基于角色的访问控制(RBAC)模型,依据用户角色和权限来管制对 API 资源的拜访。
同时,定期审查和更新权限设置,确保用户只领有必要的权限,避免歹意用户滥用 API。定
期更新和修补破绽:及时关注 API 供应商的安全更新和破绽布告,并确保及时利用修补程序。定期进行破绽扫描和平安评估,以发现和修复可能存在的安全漏洞。
监控和日志记录:施行弱小的监控机制,对 API 的应用状况进行实时监测,及时发现异常流动和潜在的平安威逼。同时,建设具体的日志记录零碎,记录所有的 API 申请和响应,以便进行平安审计和故障排查。
提供平安培训和文档:为开发人员、管理员和终端用户提供平安培训和文档,使其理解并恪守最佳的 API 平安实际。教育用户如何正确应用 API,并提供必要的参数和示例以确保他们可能平安地集成和应用 API。
与业余平安公司单干:思考与业余的 API 平安公司单干,进行 API 平安审计、破绽扫描和浸透测试等服务,以获取更全面的平安评估和倡议。
Twitter API 中断阻止登录?
这是一篇对于 Twitter API 中断阻止登录的文章。寰球范畴内的 Twitter 用户在登录、退出账号、分享推文、点击链接以及查看图片时,遇到了一系列问题,Twitter API 的中断阻止了用户的拜访。这种影响范畴宽泛,简直波及到了所有应用 Twitter 的用户。
简略来说,因为对 API 后端进行了一些绝对较小的更改,却引发了重大的中断问题,影响到了用户应用 API 以及挪动和 Web 应用程序。
寰球范畴内都有报告指出这次中断,用户们看到了与 API 拜访相干的各种错误信息。甚至 Twitter 的反对人员在他们的 Twitter 帖子中抵赖了这次中断,埃隆·马斯克起初也示意“一个小小的 API 更改居然会产生如此微小的影响,并且最终须要齐全重写”。
这次中断产生在 Twitter 发表打算敞开收费拜访层之后不久。很显然,思考到 Twitter 的规模,从新设计整个 API 零碎将导致肯定水平的不稳固。
API 的中断导致用户无奈失常拜访。
这对于用户来说会带来一系列问题:
服务不可用:因为 API 的中断,用户将无奈应用相干的挪动应用程序、网站或其余基于该 API 构建的服务。这将使他们无奈实现所需的操作或获取必要的信息。
谬误音讯:在中断期间,用户可能会遇到与 API 拜访相干的各种谬误音讯。这些谬误音讯会给用户带来困惑和不便,因为他们无奈取得预期的后果或性能。
影响业务流程:对于那些依赖于 API 的企业和组织而言,中断可能会重大影响其业务流程。如果他们的外围性能依赖于 API,中断将导致业务停滞,造成损失并影响用户体验。
小阑解读:
为了防止这种 API 中断带来的问题,能够思考以下几点措施:
定期备份和监控:确保对 API 进行定期备份,这样在呈现中断时能够疾速还原至最近的可用状态。同时,设置监控零碎来实时监测 API 的运行状态,及时发现并解决潜在问题。
逐渐更新和测试:当须要对 API 进行更改时,采取逐渐更新的形式,而不是一次性全面批改。在每个小的更改后,进行充沛的测试,以确保更改不会引发不可意料的问题。
分布式容错策略:建设容错机制,以避免单点故障和中断。例如,能够思考应用多个服务器或云平台,并在其中一个呈现故障时主动切换至备用服务器。实时告诉和反对:在 API 中断期间,及时向用户提供精确的错误信息和状态更新。同时,提供疾速响应和反对,帮忙用户解决遇到的问题。
OWASP API 平安进化版:TOP 10 改革
在数字化时代,API 扮演着极其重要的角色,它们就像是不同零碎之间的桥梁和通信管道,让不同的组织和利用之间可能共享数据和性能。
预计 2024 年 API 申请命中数将达到 42 万亿次,这显示了 API 在寰球范畴内的广泛应用。与此同时,API 也面临着严厉的平安挑战,据 Gartner 预测:到 2024 年,由 API 平安引起的数据泄露危险将翻倍。
最近,Dana Epp 报道了 OWASP API 平安 TOP 10 内容产生的变动。
2019 年,OWASP 首次公布了 API Security Top 10,起初随着 API 利用的倒退和平安实际的深入,OWASP 于 2023 年正式公布了 API Security Top 10 的内容更新,对 API 身份认证和受权的治理进行了重点突出;此外,自动化威逼防护缺失和 API 供应链平安危险等也被首次退出到了清单中。
之前的“API8:2019 - 注入”和“API10:2019 - 日志记录和监控有余”这两个缺点类别从前 10 名列表中被移除了。这并不意味着注入攻打缩小了,而是特定于 API 的攻打变得更加突出。同时,日志记录和监控的有余始终是一个与软件平安相干的重要问题,API 开发应该遵循最佳实际指南。
而后,新增了三个内容:
首先是“API6:2023 - 服务器端申请伪造”,这反映出针对 API 的攻打有所增加,将申请重定向到 API 管制范畴之外的 URL,可能带来未经受权的数据泄露、数据篡改、服务中断等结果。
其次是“API08:2023 - 不足对主动威逼的爱护”,是指机器人或主动攻打针对 API 的日益突出。通常波及了解 API 的商业模型,发现敏感的业务流程,并主动拜访这些流程,从而对业务造成侵害。
最初是“API10:2023 –第三方 API 的不平安调用”,指的是第三方 API 调用中暗藏的信任危机。开发人员通常更偏向于来自第三方 API 的数据,而不是用户本人输出的数据。
因而,他们可能会对输出验证和数据清理等平安规范采取较弱的保护措施。如果攻击者毁坏了第三方服务,他们就有可能通过这个受损的 API 服务操纵应用相干数据。
总结一下,OWASP API TOP10 这些趋势变动反映出了特定的 API 攻打威逼突出化,阐明在信息化和数字化疾速倒退的时代,传统的身份验证形式曾经无奈满足日益增长的平安需要,须要采纳更多元化、智能化的身份认证形式来进步零碎、服务、数据的安全性。
小阑剖析:
减少了“服务端申请伪造破绽”内容,阐明这是一种十分危险的安全漏洞,攻击者能够利用该破绽窃取敏感信息、发动内网攻打、进行 DoS 攻打等,同时表明了在服务端申请处理过程中,输出验证与过滤的重要性。增强对 SSRF 破绽的防备,能够无效进步应用程序的安全性。
减少了“短少对自动化威逼的防护”内容,阐明在理论利用中,很多企业不足对自动化攻打的防护措施,存在肯定的平安危险。自动化攻打能够通过机器学习算法、大数据分析、自动化工具等形式,疾速、精确地扫描指标系统漏洞或发动攻打,对系统造成严重威胁。
减少了“第三方 API 的不平安调用”内容,阐明不平安的第三方 API 可能会导致系统蒙受攻打,企业须要增强安全意识,抉择可信赖的服务提供商,进行充沛的平安测试和验证,限度 API 的权限并监控 API 的应用状况,能够保障系统的安全性。
随着 API 的宽泛及深刻利用,其重要性在日益减少;攻击者对 API 的利用也变得更加广泛和有组织性。理解和评估 API 平安危险是爱护应用程序和敏感数据免受歹意攻打的关键步骤。OWASP API Security Top 10 为咱们提供了一个框架,能够辨认和了解常见的 API 平安危险,并领导咱们制订相应的平安对策。
通过深刻理解每个危险的特点和潜在影响,咱们可能更好地布局和施行必要的进攻措施。
感激 http://APIsecurity.io 提供相干内容