您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

2022年API已成为攻击者目标,企业如何保护API安全?

时间:2023-04-06 15:54:40  来源:搜狐号  作者:

随着云计算、移动互联网、物联网的蓬勃发展,越来越多的应用开发深度依赖于API之间的相互调用。特别是疫情常态化后,协同办公、在线教育、直播短视频等线上应用蓬勃发展,API在其中既能够起到连接服务的功能,又可以用来传输数据,随着API的绝对数量持续增长,通过API传递的数据量也飞速增长。

与此同时,API也正成为攻击者重点光顾的目标。据Salt Security《State of API Security Report, Q3 2021》报告显示,2021年上半年,整体API流量增长了141%,API攻击流量则增长了348%,针对API的攻击流量正在以普通API流量的3倍速度增长。报告还发现,安全问题在API项目关注的名单中名列前茅,很少有受访者认为他们有信心识别和阻止API攻击。

这是由于API的广泛使用和链接为恶意攻击者提供了广阔的攻击面,一旦成功攻击API,就能获取大量企业核心业务逻辑和敏感数据。除此之外,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API,为攻击者提供了唾手可得的机会。相对于传统Web窗体,攻击API的成本更低、价值更高。

正因如此,2021年发生了很多重量级的API攻击事件,引发了社会各界的广泛关注,例如:黑客通过API漏洞入侵了7亿多Linkedln用户的数据,并在暗网上出售这些数据;黑客攻击Parler网站的API安全漏洞,非法获得1000万用户超过60TB的数据;Clubhouse因API安全漏洞泄露了130万条用户记录。

可以预见,2022年针对API的攻击将成为恶意攻击者的首选,越来越多的黑客利用API窃取敏感数据并进行业务欺诈,为API构建安全防护体系已势在必行。

新兴网络威胁下,传统API网关局限性凸显

一个严峻的事实是,API发展到现在,授权认证体系已经比较完善,但是在授权之后访问的控制相对薄弱。管控的颗粒度因API接口业务需要而不同,在带来访问便利的同时,也可能被恶意利用,带来信息泄漏和被滥用的风险。API设计之初就是为程序调用准备的,天然是工具行为,利用自动化工具通过合法授权下的API滥用,已成为API攻击的难题。从API的提供方角度,为使用和管理的方便,过度的API开放和宽泛的API调用参数返回,既可能被恶意利用,也可能无形中造成信息泄漏和被滥用的风险。因此传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制几乎无用武之地。

例如,身份认证机制可能存在单因素认证、无口令强度要求、密码明文传输等安全隐患,而访问授权机制风险通常表现为用户权限大于其实际所需权限。同时,即使建立了身份认证、访问授权、敏感数据保护等机制,有时仍无法避免攻击者以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。

在如今互联网的开放场景下,API的应用和部署面向个人、企业、组织机构等不同用户群,是外部网络攻击的主要对象之一,因此更需时刻警惕外部安全威胁。针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化。

解铃还须系铃人,提前预防常见的API漏洞,尽可能的保护API的安全

1、图形验证码

将图形校验码和手机验证码进行绑定,在用户输入手机号码以后,需要输入图形校验码成功后才可以触发短信验证,这样能比较有效的防止恶意攻击。目前大部分应用都是采用这种方式。

2、限定请求次数

在服务器端限定同一IP地址,同一设备,同时间范围内的接口请求次数。比如同一号码重复发送的时间间隔,一般为60或120秒;设置每个IP每天最大的发送量;设置单个手机号每天的最大发送量。

3、流程条件限定

将手机短信验证放在最后进行,比如需要用户必须注册后,或者用户必须填写了某些条件才能进行短信验证。

4、归属地是否一致

服务器端检查用户的IP所在地与手机号归属地是否匹配,如果不匹配则提示用户手动操作等。

5、服务器接口验证

当用户登录成功后,返回一个由Token签名生成的秘钥信息(Token可使用编码和md5加密,可以放在请求的Header中),然后对每次后续请求进行Token的封装生成,服务器端在验证是否一致来判断请求是否通过。

(1) 常规的方法:用户登陆后生成token,返回客户端,然后服务器使用AOP拦截controller方法,校验token的有效性,每次token是一样的;

(2) 用户登陆后生成临时token,存到服务器,并返回客户端,客户端下次请求时把此token传到服务器,验证token是否有效,有效就登陆成功,并生成新的token返回给客户端,让客户端在下一次请求的时候再传回进行判断,如此重复。 这种方法有性能问题,但也有一个漏洞,如果用户在一次请求后,还未进行下一次请求就已被黑客拦截到登录信息并进行假冒登录,他一样可以登录成功并使用户强制下线,但这种方法已大大减少被假冒登录的机会。

(3) 两层token:一般第一次用账号密码登录服务器会返回两个token,时效长短不一样,短的时效过了之后,发送时效长的token重新获取一个短时效,如果都过期,那么就需要重新登录了。当然更复杂你还可以做三层token,按照业务分不同token。

6、采用https

线上的api接口开启https访问,这样做的被抓包的难度会提高很多,而且https需要秘钥交换,可以在一定程度上鉴别是否为伪造的网络非真人IP地址。

7、服务器端代理请求

这也是解决网站跨域的方案之一,采用服务器代理可以有效的防止接口真实地址的暴露。



Tags:API   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
中国三大运营商共同发布通过GSMA Open Gateway认证的一次性密码 API
3月26日,北京:中国三大领先的移动运营商——中国移动、中国电信和中国联通今日发布商用OTP API(一次性密码API)服务,并通过了GSMA Open Gateway认证。此次发布标志着中...【详细内容】
2024-03-26  Search: API  点击:(22)  评论:(0)  加入收藏
如何免费访问和使用Gemini API?
Gemini是谷歌开发的一个新模型。有了Gemini可以为查询提供图像、音频和文本,获得几乎完美的答案。 我们在本教程中将学习Gemini API以及如何在机器上设置它。我们还将探究各...【详细内容】
2024-02-19  Search: API  点击:(59)  评论:(0)  加入收藏
构建 Web API 的两种流行选择:REST vs GraphQL
在 RESTful 和 GraphQL API 之间的选择取决于您的具体用例。RESTful API 适用于需要高可伸缩性的简单应用程序,而 GraphQL 则适用于具有不同数据需求的复杂应用程序。简介RES...【详细内容】
2024-01-09  Search: API  点击:(64)  评论:(0)  加入收藏
FastAPI:高性能Web框架的简介与应用
正文:在当今互联网时代,构建高性能的WebAPI是许多开发人员的关注重点。而FastAPI作为一个现代、快速的Web框架,为基于标准Python类型提示的API构建提供了强大的支持。FastAPI的...【详细内容】
2023-12-27  Search: API  点击:(101)  评论:(0)  加入收藏
理解 Spark 写入 API 的数据处理能力
这张图解释了 Apache Spark DataFrame 写入 API 的流程。它始于对写入数据的 API 调用,支持的格式包括 CSV、JSON 或 Parquet。流程根据选择的保存模式(追加、覆盖、忽略或报...【详细内容】
2023-12-13  Search: API  点击:(149)  评论:(0)  加入收藏
如何在Python中使用ChatGPT API处理实时数据
译者 | 李睿审校 | 重楼OpenAI公司推出的GPT如今已经成为全球最重要的人工智能工具,并精通基于其训练数据处理查询。但是,它不能回答未知话题的问题,例如: 2021年9月之后的近期...【详细内容】
2023-12-13  Search: API  点击:(229)  评论:(0)  加入收藏
伪原创API是什么?六个角度了解伪原创API
伪原创API,听起来可能对许多人来说是一个陌生的术语。然而,在当今数字化时代,尤其是在内容创作和网络营销领域,伪原创API正逐渐崭露头角。在本文中,我将向您深入介绍伪原创API是...【详细内容】
2023-12-11  Search: API  点击:(156)  评论:(0)  加入收藏
使用FastAPI部署YOLO模型的步骤
在计算机视觉领域,You Only Look Once (YOLO) 算法已经崭露头角,成为一种改变游戏规则的算法。它承诺具有卓越准确性的实时目标检测,使其成为从监视和自动驾驶车辆到图像和视频...【详细内容】
2023-12-06  Search: API  点击:(157)  评论:(0)  加入收藏
构建强大REST API的十个最佳实践
在项目开发中,我们经常会使用REST风格进行API的定义,这篇文章为大家提供10条在使用REST API时的最佳实践。希望能够为你带来灵感和帮助。1、使用具体且有意义的资源名称选择能...【详细内容】
2023-12-06  Search: API  点击:(149)  评论:(0)  加入收藏
前端请求到后端API的中间件流程解析
在前端请求到后端API的典型流程中,经过一系列中间件的处理,确保请求的顺利处理和安全性。以下是中间件的详细解析:1. 前端请求用户在前端发起请求,包括请求的URL、参数、以及其...【详细内容】
2023-12-06  Search: API  点击:(123)  评论:(0)  加入收藏
▌简易百科推荐
保护隐私,从微信朋友圈开始
在这个信息化高速发展的时代,微信已经成为了我们生活中不可或缺的一部分。无论是工作沟通、亲友联络,还是日常的消遣娱乐,微信都扮演着重要的角色。而微信朋友圈,更是成为了我们...【详细内容】
2024-04-08    松鼠宝贝  Tags:微信朋友圈   点击:(8)  评论:(0)  加入收藏
加密领域的热门概念和创新应用
在当下快速发展的加密货币领域,BTC Layer 2(二层)概念、比特币商业场景型的应用、DePIN以及AI领域的全球GPU算力调度网等项目备受关注,被视为具有巨大潜力的创新方向。让我们一...【详细内容】
2024-03-20  曜楠科技    Tags:加密   点击:(17)  评论:(0)  加入收藏
让隐私数据不再裸奔!一文掌握加密技术,让你的隐私高枕无忧
随着互联网的普及和数字化进程的加速,加密技术已经成为我们生活中不可或缺的一部分。从保护个人隐私到保障国家安全,加密技术都发挥着至关重要的作用。今天,我们就来一起盘点一...【详细内容】
2024-02-19  媺媺熊    Tags:隐私数据   点击:(1)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  阿小白    Tags:密码学   点击:(50)  评论:(0)  加入收藏
笔记本电脑如何设置开机密码
在信息化时代,笔记本电脑已经成为我们工作、学习和生活中不可或缺的工具。然而,与此同时,信息安全问题也日益突出。为了保护个人隐私和重要数据,设置开机密码成为了必不可少的一...【详细内容】
2024-01-30  雨后海棠    Tags:开机密码   点击:(31)  评论:(0)  加入收藏
什么是密钥扩展?如何确保密码安全?
译者 | 陈峻审校 | 重楼为了访问自己的数字账户,我们通常需要用到密码或口令。不过,正如现实生活中开锁的钥匙可能并不总是牢靠一样,并非所有的密码都是安全的。为了加强在线防...【详细内容】
2023-12-22    51CTO  Tags:密码   点击:(89)  评论:(0)  加入收藏
SQL注入漏洞的检测及防御方法
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库...【详细内容】
2023-12-01  兰花豆说网络安全  微信公众号  Tags:SQL注入   点击:(117)  评论:(0)  加入收藏
网络安全秘籍:打造隐私防护墙,保卫您的个人信息!
随着互联网的普及,越来越多的个人信息被储存在网络上。这些信息包括我们的通讯地址、购物记录、银行账号等,一旦被黑客窃取,后果将不堪设想。那么,如何保护个人隐私免受网络攻击...【详细内容】
2023-11-21  白面知识铺    Tags:网络安全   点击:(199)  评论:(0)  加入收藏
在数字时代,如何确保您的个人数据安全
随着我们生活中越来越多的信息数字化,个人隐私保护成为一个不容忽视的重要话题。无论是网络购物、社交媒体还是在线银行,我们的大量个人数据都在网络上流动。那么,如何保护我们...【详细内容】
2023-10-30  万花筒娱圈    Tags:个人数据   点击:(271)  评论:(0)  加入收藏
密码的末路!谷歌将密钥设为所有用户的默认登录方式
作者丨Carly Page编译丨诺亚近日,谷歌宣布,密钥正在成为所有用户的默认登录方法。因此,密钥也被这家科技巨头吹捧为密码“终结的开始”。密钥是一种防网络钓鱼的密码替代品,允许...【详细内容】
2023-10-19    51CTO  Tags:密钥   点击:(238)  评论:(0)  加入收藏
站内最新
站内热门
站内头条