API或成为网络攻击最新技术点

API或成为网络攻击最新技术点

尽管API支撑着用户早已习惯的互动式数字体验，是公司数字化转型的基础，但它们同时也为恶意黑客提供了访问公司数据的多种途径，甚至能被用于引发大范围业务中断。利用API的常见攻击方式包括：

API参数篡改——黑客常用该技术逆向工程API或获得敏感数据的访问权。

会话cookie篡改——此类攻击试图利用cookie绕过安全机制或向应用服务器发送虚假数据。

中间人攻击——通过监听API客户端和服务器之间未经加密的连接，黑客可获取到敏感数据。

公司企业可采取以下预防措施来减少API威胁风险：

1. 安全思维贯彻开发过程始终

API安全的基础在于实现可靠的身份验证和授权原则。开发人员常会使用来自外部过程(例如注册API时)的访问凭证，或通过单独的机制(例如OAuth)来访问API。凭证随每次访问请求发送给API，API在处理请求之前先验证凭证的有效性。

2. 应用行业安全最佳实践和标准

应用编码最佳实践并密切关注常见API漏洞(例如SQL/脚本注入和身份验证漏洞)，应成为开发人员和DevSecOps人员的核心最佳操作。编码最佳实践和常见API漏洞信息可在开放Web应用安全计划(OWASP)中找到。

3. 通过API网关进行监视

将独立的API集中存储到应用代码库中，就可用API网关来监视、分析和限制流量，最小化DDoS风险，实现预设的安全策略(例如身份验证规则)。One Poll 数据显示，80%的公司企业使用公共云服务保护他们API背后的数据，大多数公司综合使用API网关(63.2%)和Web应用防火墙(63.2%)。

采用这些DevSecOps建议可以最小化与API暴露相关的安全风险，让应用程序免受网络安全事件侵害。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。