应用程序编程接口(API)已经成为维系当今APP经济的粘合剂,并成为黑客的头号攻击目标。API的操作与URL的操作大致相同。当用户使用网络搜索时,页面显示结果是动态的。以手机银行应用程序为例,API也以类似的方式运行。它可以获取用户的姓名、账号和账户余额,并相应地填充交互页面中的字段。但API更受攻击者青睐,因为API包含所有安全检查并且通常直接与后端服务通信。应用程序安全性一直存在问题:输入验证。如果没有适当的功能和安全测试,API可能成为完美的攻击点。因为API受到应用程序的信任,所以高速、海量的数据交换成为可能。三类常见的API漏洞调查人员在调查了大量应用安全市场客户并参考开放Web应用安全项目(OWASP)后,总结出以下三类最常见的API漏洞:1.BrokenObjectLevelAuthorization(BOLA)BOLA的通俗定义是对象访问请求的验证不充分,这使得攻击者可以通过重用访问令牌来执行未经授权的操作。Peloton事件是最近许多BOLA攻击的一个众所周知的例子。攻击者可以查看几乎所有用户的个人数据,包括标记为私人的事件。此类攻击会影响从开发到运营再到营销和公共关系的每个业务组。2.无效的用户认证这类漏洞的准确定义是“认证机制的实现缺陷”,允许攻击者冒充合法用户。这里有两种常见的漏洞利用类型:第一种是由自动机器人执行的凭据填充。查找具有用户身份验证缺陷的API是自动攻击的理想目标。此漏洞的更复杂用途是进行侦察以确定API的工作方式。例如,如果我们输入“a@a.com/”密码的用户名/密码组合,应用程序显示“密码无效”,那么攻击者就知道用户名是有效的。攻击者将使用此数据点来增加撞库(或其他类型的攻击)成功的机会。3.资产管理不当该API缺陷是环境隔离和管理不充分的结果,允许攻击者访问安全性不足的API端点。在农业机械公司JohnDeere的安全事件中,一个开发人员API允许在不进行编辑的情况下访问生产数据,这可能已经暴露了JohnDeere客户的系统。属于此类别的其他漏洞包括未能监控开发API中的敏感数据,以及将已弃用的API留在网上或公开。当前,API安全事件层出不穷。无论企业用户是使用API优先方法还是刚刚开始API辅助数字化转型之旅,了解API的漏洞和相关风险都至关重要。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
