译者|布加迪评论|孙淑娟API的安全威胁一直是个问题。API安全就像开车一样。在发布之前,您必须谨慎行事并仔细检查每个链接。否则,您会将自己和他人置于危险之中。API攻击比其他攻击更危险。Facebook的5000万用户账户此前曾受到API攻击的影响,而针对Hostinger账户的API数据攻击暴露了1400万客户记录。如果黑客侵入您的API端点,可能会给您的项目带来灾难。根据您所在的行业和地区,不??安全的API可能会给您带来麻烦。尤其是在欧盟,如果您为银行工作,如果被发现使用不安全的API,您可能会面临严重的法律和合规问题。要降低这些风险,您需要了解网络犯罪分子可以利用的潜在API漏洞。一、常被忽视的六类API安全风险1、API缺乏可见性和监控就意味着“风险”如果逐渐使用云化网络,使用的设备和API数量也会增加。这也会导致无法了解您在企业内部或外部泄漏了哪些API。隐藏、隐藏或弃用的API不为安全团队所知,这为攻击者创造了更多机会,可以针对未知的API、API参数和业务逻辑发起成功的网络攻击。API网关等传统工具无法提供所有API的完整列表。确保具有API可见性,包括以下内容:集中可见性和API流量的详细视图以及所有API的列表传输敏感信息的API的可见性API风险自动分析,具有预定义的标准2.API功能对您的API的关注不足调用对于避免向您的API传递重复请求很重要。如果两个已部署的API尝试使用相同的URL,可能会导致重复和冗余的API使用问题。这是因为两个API上的端点使用相同的URL。为了避免这种情况,每个API都应该有自己独特的URL,并针对它进行了优化。3.对服务可用性的威胁在僵尸网络的帮助下,有针对性的DDoSAPI攻击可以使API服务器的CPU周期和处理器能力过载,发送带有无效请求的服务调用,使服务器无法用于合法流量。DDoSAPI攻击不仅针对运行API的服务器,而且针对每个API端点。速率限制让您有信心保持您的应用程序健康,而良好的响应计划伴随着多层安全解决方案,如AppTrana的API保护。准确、完全托管的API保护持续监控API流量,并在恶意请求到达服务器之前立即阻止它们。4.因API使用而犹豫不决B2B公司经常需要向组织外部的团队发布内部API使用数字。这对于促进协作和允许其他人访问您的数据和服务非常有帮助。但值得仔细考虑您允许谁访问您的API,以及他们需要什么级别的访问权限。您不希望过于广泛地公开您的API,从而造成安全风险。当API调用在合作伙伴或客户之间共享时,需要对其进行密切监控。这有助于确保每个人都按预期使用API,并且系统不会不堪重负。5.API注入API注入是一个术语,用于描述随API请求一起注入的恶意代码。执行注入命令后,它甚至可以从服务器上删除用户的整个站点。API易受此风险影响的主要原因是API开发人员未能在输入出现在API代码中之前对其进行清理。这种安全漏洞给用户带来了严重的问题,包括身份盗用和数据泄露,因此了解风险至关重要。在服务器端添加输入验证机制,防止注入攻击,避免执行特殊字符。6.通过API攻击物联网设备对物联网设备的利用程度取决于API安全管理水平;如果没有这种安全管理,您将很难使用物联网设备。随着时间的推移和技术的进步,黑客总是会使用新的方法来利用物联网产品中的漏洞。虽然API具有强大的可扩展性,但它们为黑客打开了新的入口点,以访问物联网设备上的敏感数据。为了避免物联网设备面临的许多威胁和挑战,API必须更加安全。因此,您需要为您的物联网设备应用最新的安全补丁,以保护它们免受最新威胁的侵害。2.实施WAAP以降低API风险目前,许多组织不断受到API攻击的威胁。每天都会出现新的漏洞,因此有必要定期检查所有API是否存在潜在威胁。Web应用程序安全工具不足以保护您的公司免受这些类型的风险。为了使API保护发挥作用,需要完全致力于API安全。Web应用程序和API保护(WAAP)系统是这方面实用且有效的解决方案。原文链接:https://thehackernews.com/2022/09/6-top-api-security-risks-favored.html
