日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
API安全淺析

Part 01、什么是API

創(chuàng)新互聯(lián)長期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺(tái),與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為南山企業(yè)提供專業(yè)的成都網(wǎng)站制作、網(wǎng)站建設(shè),南山網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

關(guān)于API的定義,先來看看維基百科上對(duì)API的描述。

“An application programming interface(API)is a way for two or more computer programs to communicate with each other. It is a type of software interface, offering a service to other pieces of software. A document or standard that describes how to build or use such a connection or interface is called an API specification. A computer system that meets this standard is said to implement or expose an API. The term API may refer either to the specification or to the implementation.”

從這段描述中可以了解到,API是一個(gè)在應(yīng)用程序開發(fā)過程中會(huì)被經(jīng)常提及的東西,它的全稱是Application Programming Interface(應(yīng)用程序接口)。API通過定義一組函數(shù)、協(xié)議、數(shù)據(jù)結(jié)構(gòu),明確應(yīng)用程序中各個(gè)組件之間通信與數(shù)據(jù)交互方式。將Web應(yīng)用、操作系統(tǒng)、數(shù)據(jù)庫以及計(jì)算機(jī)軟硬件的能力以接口的形式提供給外部使用,而無需訪問源碼,或理解內(nèi)部工作機(jī)制的細(xì)節(jié)。

Part 02、常見API類型

在API的發(fā)展歷程中,根據(jù)其表現(xiàn)形式的不同,大致分為如下四種類型:

類庫型API

- 定義

類庫型API通常是一個(gè)類庫,它的使用依賴于特定的編程語言,開發(fā)者通過接口調(diào)用,訪問API的內(nèi)置行為,從而處理所需要的信息。

- 舉例

應(yīng)用程序調(diào)用微軟基礎(chǔ)類庫(MFC)

操作系統(tǒng)型API

-定義

操作系統(tǒng)型API通常是操作系統(tǒng)層對(duì)外部提供的接口,開發(fā)者通過接口調(diào)用,完成對(duì)操作系統(tǒng)行為的操作。

- 舉例

應(yīng)用程序調(diào)用Windows API或Linux標(biāo)準(zhǔn)庫

遠(yuǎn)程應(yīng)用型API

- 定義

遠(yuǎn)程應(yīng)用型API是開發(fā)者通過標(biāo)準(zhǔn)協(xié)議的方式,將不同的技術(shù)結(jié)合在一起,不用關(guān)心所涉及的編程語言或平臺(tái),來操縱遠(yuǎn)程資源。

- 舉例

Java通過JDBC連接操作不同類型的數(shù)據(jù)庫

Web應(yīng)用型API

- 定義:

Web應(yīng)用型API通常使用HTTP協(xié)議,在企業(yè)與企業(yè)、企業(yè)內(nèi)部不同 的應(yīng)用程序之間,通過Web開發(fā)過程中架構(gòu)設(shè)計(jì)的方法,以一組服務(wù)的 形式對(duì)外提供調(diào)用接口,以滿足不同類型、不同服務(wù)消費(fèi)者的需求。

- 舉例:

社交應(yīng)用新浪微博的用戶登錄

在API技術(shù)的發(fā)展歷史中,業(yè)界習(xí)慣把前兩個(gè)階段的API稱為古典 API,后兩個(gè)階段的API稱為現(xiàn)代API。現(xiàn)代API是當(dāng)前API技術(shù)的主要使用形式,以Web應(yīng)用型API為主?;诂F(xiàn)代API的服務(wù)對(duì)象不同、技術(shù)形式不同、使用者不同,可以對(duì)現(xiàn)代API做不同類型的劃分。

Part 03、API安全問題主要成因

近年來,越來越多的攻擊者開始將目標(biāo)對(duì)準(zhǔn)API,因?yàn)锳PI被攻擊或者存在漏洞而出現(xiàn)的攻擊事件或數(shù)據(jù)泄露事件頻頻發(fā)生,例如:

  • 2019年11月,Twitter出現(xiàn)過利用通訊錄匹配功能獲得百萬推特用戶賬號(hào)和手機(jī)號(hào)的數(shù)據(jù)泄露事件。
  • 2020年3月,F(xiàn)acebook數(shù)據(jù)大規(guī)模泄露,包括用戶昵稱、郵箱、電話、家庭住宅等信息,涉及5億多用戶,
  • 2020年4月,GitLab API問題導(dǎo)致私有項(xiàng)目的名稱空間泄露。

那么,導(dǎo)致API安全問題頻繁發(fā)生的原因是什么呢?

企業(yè)API安全意識(shí)不足

人們通常假設(shè)程序會(huì)按照想象中的過程運(yùn)行,從而導(dǎo)致API被攻擊的可能性以及影響被嚴(yán)重低估,因此不去采取充分的防護(hù)措施。此外,第三方合作伙伴系統(tǒng)的API,也容易被組織所忽視。

技術(shù)革新導(dǎo)致API安全風(fēng)險(xiǎn)增加

隨著云計(jì)算技術(shù)的廣泛應(yīng)用,越來越多的企業(yè)將應(yīng)用和數(shù)據(jù)遷移至云端,并暴露核心業(yè)務(wù)能力和流程相關(guān)的API為外部合作伙伴提供服務(wù),無形中使得API安全風(fēng)險(xiǎn)增大。且很多技術(shù)開發(fā)人員熱衷于采納新的、酷的技術(shù),在技術(shù)路線上選擇新的特性,忽視API是否被攻擊,導(dǎo)致API安全風(fēng)險(xiǎn)更不可控。

API自身安全機(jī)制不足

API為企業(yè)提供便利的對(duì)外開放能力的同時(shí),也為攻擊者提供了攻擊的通道。API自身的安全機(jī)制存在缺陷,比如缺少授權(quán)訪問控制或異常檢測手段、缺少對(duì)API資產(chǎn)的生命周期管理,這些在攻防對(duì)抗中容易成為突破口。

Part 04、OWASP API Top 10

隨著針對(duì)API的攻擊日益嚴(yán)重,OWASP組織推出了OWASP API Security TOP 10項(xiàng)目,對(duì)目前API最受關(guān)注的十大風(fēng)險(xiǎn)點(diǎn)進(jìn)行了總結(jié),以警示業(yè)界提高對(duì)API安全問題的關(guān)注。

Part 05、企業(yè)API安全建設(shè)

針對(duì)企業(yè)API安全建設(shè),綜合了網(wǎng)上部分安全建議,以供大家參考:

  • API資產(chǎn)管理

主動(dòng)發(fā)現(xiàn)并構(gòu)建API資產(chǎn)列表,清理僵尸/影子API。統(tǒng)計(jì)各個(gè)API的詳情,包括API的請(qǐng)求方法、參數(shù)特征、業(yè)務(wù)用途、發(fā)現(xiàn)時(shí)間、活躍時(shí)間等,多維度繪制API資產(chǎn)畫像,實(shí)現(xiàn)對(duì)API資產(chǎn)的統(tǒng)一管理。

  • API攻擊防護(hù)

綜合利用智能規(guī)則匹配及智能攻擊檢測引擎,持續(xù)監(jiān)控并分析流量行為,對(duì)安全攻擊進(jìn)行實(shí)時(shí)防護(hù)。智能攻擊檢測引擎在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù),并利用統(tǒng)計(jì)模型來確定API請(qǐng)求/響應(yīng)的異常。

  • 敏感數(shù)據(jù)管控

識(shí)別API訪問中的敏感數(shù)據(jù)并分類分級(jí)管理,對(duì)傳輸中的敏感數(shù)據(jù)可以進(jìn)行模糊化或者實(shí)時(shí)攔截,防止敏感數(shù)據(jù)泄露。

  • 訪問行為管控

對(duì)API接口的訪問行為進(jìn)行監(jiān)控分析,通過多維度建立API訪問基線,及時(shí)發(fā)現(xiàn)批量注冊(cè)、撞庫、資源濫用等各類異常訪問行為,避免惡意訪問和接口濫用造成的業(yè)務(wù)損失。

Part 06、總結(jié)

如今API安全已經(jīng)成為提供API服務(wù)的企業(yè)之間以及企業(yè)內(nèi)部都需要關(guān)注的一個(gè)安全問題,一旦沒有很好的保護(hù)好提供服務(wù)的API,不僅會(huì)對(duì)用戶的使用體驗(yàn)以及個(gè)人隱私帶來威脅和風(fēng)險(xiǎn),而且可能會(huì)使企業(yè)面臨安全威脅和風(fēng)險(xiǎn)。隨著信息技術(shù)的快速發(fā)展,API安全防護(hù)也在持續(xù)演進(jìn)過程中,企業(yè)要重點(diǎn)關(guān)注API安全的整個(gè)生命周期,加強(qiáng)系統(tǒng)化、自動(dòng)化安全防護(hù)措施,向智能防護(hù)智能的方向演進(jìn)。

參考文獻(xiàn)

[1] API安全技術(shù)與實(shí)踐 錢君生 楊明 韋巍

[2] https://mp.weixin.qq.com/s/pZM1qUgct-Xi3Cagi8WzvA

[3] https://mp.weixin.qq.com/s/vJ4xJwOuSI9RXVD4TI6XZQ


分享文章:API安全淺析
文章鏈接:http://www.dlmjj.cn/article/coeoopg.html