欢送大家围观小阑精心整顿的API平安最新资讯,在这里你能看到最业余、最前沿的API平安技术和产业资讯,咱们提供对于寰球API平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:
一篇对于攻击者利用API破绽速度快速增长的报告
一篇对于Twitter API中断阻止登录的文章
一篇对于OWASP Top 10内容变更的文章
攻击者利用API破绽速度快速增长
依据Wallarm的钻研,他们剖析了350,000份报告,并发现了来自650个不同供应商的337个专门针对API的破绽。在追踪了115个与这些破绽相干的已公开破绽后,报告得出了论断:API的威逼局势正变得越来越危险。
报告得出的论断是,依据2022年的数据,API正面临越来越多的攻打,并且存在以下引人注目的趋势:
API攻打飙升:报告显示,对察看到的API的攻打增长了197%。简而言之,攻击者正在以迅猛的速度减少对API的攻打次数。
CVE激增:无关常见破绽和公开披露(CVE)的数量减少了78%。这意味着攻击者有更多的攻击方式和破绽利用选项。
利用工夫缩短:令人担忧的是,利用API破绽所需的工夫显著缩短,这让爱护API平安变得更加艰难。报告中援用的数据表明,攻击者甚至在CVE公布之前就开始利用零日破绽,而这段时间曾经从过来的58天缩小到简直为零。
报告解读,2022年API威逼的数量翻了一番,而且在很多状况下,破绽在被公开披露之前就已存在。注入攻打成为攻击者次要应用的手法,并且攻击者更频繁地针对DevOps和云原生平台。
小阑倡议:
为了进步API的安全性并有效应对API威逼局势,倡议大家:
采纳平安开发生命周期(SDLC):在开发API时,将安全性作为一个要害指标,并将其纳入整个开发生命周期中。这包含对需要剖析、设计、编码、测试和部署阶段进行平安审查和测试,以确保API在每个阶段都合乎最佳平安实际。
强化身份验证和受权机制:为API实现弱小的身份验证和受权机制,例如应用API密钥、令牌或OAuth等形式。确保只有通过认证和受权的用户可能拜访和应用API,以避免未经受权的拜访和歹意操作。
限度敏感数据的裸露:API设计中要特地留神敏感数据的爱护。仅裸露必要的数据字段,对敏感数据进行加密传输,并确保进行适当的访问控制,只容许须要应用这些数据的用户或服务拜访。
施行访问控制和权限治理:采纳基于角色的访问控制(RBAC)模型,依据用户角色和权限来管制对API资源的拜访。
同时,定期审查和更新权限设置,确保用户只领有必要的权限,避免歹意用户滥用API。定
期更新和修补破绽:及时关注API供应商的安全更新和破绽布告,并确保及时利用修补程序。定期进行破绽扫描和平安评估,以发现和修复可能存在的安全漏洞。
监控和日志记录:施行弱小的监控机制,对API的应用状况进行实时监测,及时发现异常流动和潜在的平安威逼。同时,建设具体的日志记录零碎,记录所有的API申请和响应,以便进行平安审计和故障排查。
提供平安培训和文档:为开发人员、管理员和终端用户提供平安培训和文档,使其理解并恪守最佳的API平安实际。教育用户如何正确应用API,并提供必要的参数和示例以确保他们可能平安地集成和应用API。
与业余平安公司单干:思考与业余的API平安公司单干,进行API平安审计、破绽扫描和浸透测试等服务,以获取更全面的平安评估和倡议。
Twitter API中断阻止登录?
这是一篇对于Twitter API中断阻止登录的文章。寰球范畴内的Twitter用户在登录、退出账号、分享推文、点击链接以及查看图片时,遇到了一系列问题,Twitter API的中断阻止了用户的拜访。这种影响范畴宽泛,简直波及到了所有应用Twitter的用户。
简略来说,因为对API后端进行了一些绝对较小的更改,却引发了重大的中断问题,影响到了用户应用API以及挪动和Web应用程序。
寰球范畴内都有报告指出这次中断,用户们看到了与API拜访相干的各种错误信息。甚至Twitter的反对人员在他们的Twitter帖子中抵赖了这次中断,埃隆·马斯克起初也示意“一个小小的API更改居然会产生如此微小的影响,并且最终须要齐全重写”。
这次中断产生在Twitter发表打算敞开收费拜访层之后不久。很显然,思考到Twitter的规模,从新设计整个API零碎将导致肯定水平的不稳固。
API的中断导致用户无奈失常拜访。
这对于用户来说会带来一系列问题:
服务不可用:因为API的中断,用户将无奈应用相干的挪动应用程序、网站或其余基于该API构建的服务。这将使他们无奈实现所需的操作或获取必要的信息。
谬误音讯:在中断期间,用户可能会遇到与API拜访相干的各种谬误音讯。这些谬误音讯会给用户带来困惑和不便,因为他们无奈取得预期的后果或性能。
影响业务流程:对于那些依赖于API的企业和组织而言,中断可能会重大影响其业务流程。如果他们的外围性能依赖于API,中断将导致业务停滞,造成损失并影响用户体验。
小阑解读:
为了防止这种API中断带来的问题,能够思考以下几点措施:
定期备份和监控:确保对API进行定期备份,这样在呈现中断时能够疾速还原至最近的可用状态。同时,设置监控零碎来实时监测API的运行状态,及时发现并解决潜在问题。
逐渐更新和测试:当须要对API进行更改时,采取逐渐更新的形式,而不是一次性全面批改。在每个小的更改后,进行充沛的测试,以确保更改不会引发不可意料的问题。
分布式容错策略:建设容错机制,以避免单点故障和中断。例如,能够思考应用多个服务器或云平台,并在其中一个呈现故障时主动切换至备用服务器。实时告诉和反对:在API中断期间,及时向用户提供精确的错误信息和状态更新。同时,提供疾速响应和反对,帮忙用户解决遇到的问题。
OWASP API平安进化版:TOP 10改革
在数字化时代,API扮演着极其重要的角色,它们就像是不同零碎之间的桥梁和通信管道,让不同的组织和利用之间可能共享数据和性能。
预计2024年API申请命中数将达到42万亿次,这显示了API在寰球范畴内的广泛应用。与此同时,API也面临着严厉的平安挑战,据Gartner预测:到2024年,由API平安引起的数据泄露危险将翻倍。
最近,Dana Epp报道了OWASP API平安TOP 10内容产生的变动。
2019年,OWASP首次公布了API Security Top 10,起初随着API利用的倒退和平安实际的深入,OWASP于2023年正式公布了API Security Top 10的内容更新,对API身份认证和受权的治理进行了重点突出;此外,自动化威逼防护缺失和API供应链平安危险等也被首次退出到了清单中。
之前的“API8:2019 -注入”和“API10:2019 -日志记录和监控有余”这两个缺点类别从前10名列表中被移除了。这并不意味着注入攻打缩小了,而是特定于API的攻打变得更加突出。同时,日志记录和监控的有余始终是一个与软件平安相干的重要问题,API开发应该遵循最佳实际指南。
而后,新增了三个内容:
首先是“API6:2023 -服务器端申请伪造”,这反映出针对API的攻打有所增加,将申请重定向到API管制范畴之外的URL,可能带来未经受权的数据泄露、数据篡改、服务中断等结果。
其次是“API08:2023 -不足对主动威逼的爱护”,是指机器人或主动攻打针对API的日益突出。通常波及了解API的商业模型,发现敏感的业务流程,并主动拜访这些流程,从而对业务造成侵害。
最初是“API10:2023 –第三方API的不平安调用”,指的是第三方API调用中暗藏的信任危机。开发人员通常更偏向于来自第三方API的数据,而不是用户本人输出的数据。
因而,他们可能会对输出验证和数据清理等平安规范采取较弱的保护措施。如果攻击者毁坏了第三方服务,他们就有可能通过这个受损的API服务操纵应用相干数据。
总结一下,OWASP API TOP10这些趋势变动反映出了特定的API攻打威逼突出化,阐明在信息化和数字化疾速倒退的时代,传统的身份验证形式曾经无奈满足日益增长的平安需要,须要采纳更多元化、智能化的身份认证形式来进步零碎、服务、数据的安全性。
小阑剖析:
减少了“服务端申请伪造破绽”内容,阐明这是一种十分危险的安全漏洞,攻击者能够利用该破绽窃取敏感信息、发动内网攻打、进行DoS攻打等,同时表明了在服务端申请处理过程中,输出验证与过滤的重要性。增强对SSRF破绽的防备,能够无效进步应用程序的安全性。
减少了“短少对自动化威逼的防护”内容,阐明在理论利用中,很多企业不足对自动化攻打的防护措施,存在肯定的平安危险。自动化攻打能够通过机器学习算法、大数据分析、自动化工具等形式,疾速、精确地扫描指标系统漏洞或发动攻打,对系统造成严重威胁。
减少了“第三方API的不平安调用”内容,阐明不平安的第三方API可能会导致系统蒙受攻打,企业须要增强安全意识,抉择可信赖的服务提供商,进行充沛的平安测试和验证,限度API的权限并监控API的应用状况,能够保障系统的安全性。
随着API的宽泛及深刻利用,其重要性在日益减少;攻击者对API的利用也变得更加广泛和有组织性。理解和评估API平安危险是爱护应用程序和敏感数据免受歹意攻打的关键步骤。OWASP API Security Top 10为咱们提供了一个框架,能够辨认和了解常见的API平安危险,并领导咱们制订相应的平安对策。
通过深刻理解每个危险的特点和潜在影响,咱们可能更好地布局和施行必要的进攻措施。
感激 http://APIsecurity.io 提供相干内容