根据API安全服务商SaltSecurity的最新报告,近66%的企业缺乏基本的API安全策略。这种安全能力方面的差距尤其令人担忧,因为随着GraphQL等相对较新的技术的采用,针对API的网络攻击正在增加。据了解,从2020年到2021年,GraphQL的采用率翻了一番,并持续加速。然而,围绕GraphQL的安全意识仍然相对较低,GraphQLAPI可能带来难以评估的安全风险。SaltSecurity研究还在大型企业金融技术平台中发现了一个新的GraphQLAPI授权漏洞,该漏洞可能出现在嵌套API查询中。据了解,该平台以基于API的移动应用和SaaS的形式为中小企业和商业品牌提供金融服务。其技术堆栈使用GraphQL来支持使用移动应用程序的客户活动。同时,它还利用第三方API来检索以前的客户交易记录。发现的漏洞允许潜在的攻击者操纵API调用来窃取数据并发起未经授权的交易。此外,研究人员发现一些API调用能够访问不需要身份验证的API端点,从而允许攻击者输入任何交易标识符并获取以前的金融交易数据记录。在使用GraphQL的开发者越来越多的今天,同时GraphQLAPI独特的灵活性和结构使其难以保障,使得GraphQL漏洞日益突出,企业需要采取相关措施应对这一问题.【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
