API是企业数字产品、服务和AI技术的核心。随着企业越来越多地采用基于微服务的架构来开发应用程序,API也成为了构建和连接应用程序的标准。然而,由于API会持续访问数据和关键系统,这不但会帮助企业提升收入,也会给他们带来运营风险。
暴露或配置错误的API非常普遍,很容易遭到入侵,而且往往缺乏必要的安全保护。仅仅是一个遭到入侵的API就会导致数百万条记录被窃取。
84%的企业报告称他们在一年内遇到过API安全事件,显然保护API应该成为企业的首要任务。但API攻击面已快速上升为攻击者的攻击目标,并且此间的速度远比大多数企业对以下对象的了解要快得多:
·API风险
·API攻击方法
·API安全控制措施和功能
有什么可以提供帮助?许多安全团队都在将目光投向非营利性开放式全球应用程序安全项目提供的宝贵资源:OWASP十大API安全风险。
OWASP十大API安全风险包含相关指南,可帮助企业了解和解决因错误配置、身份验证控制松懈等问题而产生的常见API漏洞。OWASP也说明了API攻击的运作方式、识别API滥用的方法以及保护您的企业免受失效的对象级授权(BOLA)攻击等威胁侵扰的方法。
继续阅读,了解OWASP已识别的主要风险以及Akamai的API安全解决方案如何帮助您抵御这些风险。
失效的对象级授权
当客户端的授权未经过正确验证即可访问特定对象ID时,就会产生失效的对象级授权(BOLA)漏洞。此漏洞为攻击者直接访问资源敞开了方便之门,让他们能够绕过预期的应用程序工作流并对敏感数据进行未授权访问。为降低此风险,企业应该避免单纯地依赖于客户端在请求中传递的对象ID,可改为使用不可猜测的随机对象ID,从而确保对每个对象进行强力验证。在适当的时候,掩藏对象的真实ID可以提供一层额外的安全保护。
Akamai如何为您提供帮助
Akamai灵敏的监控系统会跟踪威胁并针对攻击者尝试过的BOLA漏洞利用生成告警,从而确保能够让用户立即注意到相关情况并采取相应措施。
失效的身份验证
失效的身份验证指的是身份验证过程中的大量漏洞,这些漏洞会将系统暴露在攻击者面前,而攻击者能够利用这些漏洞来破坏API对象防护机制。通常,攻击者会利用失效的身份验证漏洞来操纵系统中的漏洞,例如弱密码或会话重播。为了防范失效的身份验证漏洞,企业可以建立强大的身份验证和密钥管理机制,例如高强度密码策略、密钥轮换、强令牌签名和加密密钥。在企业中强制实施这些严格的策略会显著降低风险。
本文来自知之小站
报告已上传百度网盘群,限时15元即可入群及获得1年期更新
(如无法加入或其他事宜可联系zzxz_88@163.com)
