日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
網(wǎng)絡(luò)安全攻防演練中不能忽視的API風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全實(shí)戰(zhàn)化攻防演練是檢驗(yàn)企業(yè)網(wǎng)絡(luò)安全建設(shè)效果的有效方式,攻防雙方在真實(shí)的網(wǎng)絡(luò)環(huán)境中開(kāi)展對(duì)抗,更貼近實(shí)際情況,有利于發(fā)現(xiàn)企業(yè)真實(shí)存在的安全問(wèn)題。盡管很多企業(yè)通過(guò)持續(xù)的攻防演練有效提升了安全防護(hù)能力,但隨著組織數(shù)字化進(jìn)程的加快以及業(yè)務(wù)的迅速發(fā)展,總有一些跟不上變化的風(fēng)險(xiǎn)點(diǎn)出現(xiàn)。本文梳理總結(jié)了企業(yè)在實(shí)戰(zhàn)化攻防演練活動(dòng)中容易忽略的API安全風(fēng)險(xiǎn),并給出相應(yīng)的防護(hù)策略建議。

成都創(chuàng)新互聯(lián)是一家專(zhuān)注于成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)與策劃設(shè)計(jì),常德網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:常德等地區(qū)。常德做網(wǎng)站價(jià)格咨詢(xún):13518219792

知己:容易被忽視的攻擊風(fēng)險(xiǎn)

從以往攻防演練活動(dòng)的實(shí)際案例來(lái)看,各組織單位在攻擊面梳理過(guò)程中容易忽略的幾個(gè)關(guān)鍵點(diǎn):

1.影子API

在資產(chǎn)梳理過(guò)程中,難免有些資產(chǎn)在安全視線(xiàn)之外,如有些API沒(méi)有經(jīng)過(guò)WAF或API網(wǎng)關(guān),這些API可能是歷史遺留下來(lái)的僵尸API,由于缺乏安全防護(hù)容易被攻擊。

2.邏輯漏洞

傳統(tǒng)安全檢測(cè)產(chǎn)品很難發(fā)現(xiàn)未授權(quán)訪問(wèn)、越權(quán)訪問(wèn)、允許弱密碼、錯(cuò)誤提示不合理、未禁用目錄瀏覽等邏輯漏洞(安全缺陷)。如,攻擊者利用未授權(quán)訪問(wèn)、越權(quán)訪問(wèn)漏洞,獲取到管理員賬號(hào)密碼等敏感數(shù)據(jù),或者直接執(zhí)行高權(quán)限動(dòng)作,進(jìn)而獲取到系統(tǒng)控制權(quán)。

3.涉敏流量

現(xiàn)有WAF、API網(wǎng)關(guān)等產(chǎn)品更多是對(duì)入站流量的檢測(cè),缺乏對(duì)出站流量的檢測(cè),出站流量中如果暴露了明文的敏感數(shù)據(jù),可能會(huì)被攻擊者加以利用,比如獲取到內(nèi)部員工的郵箱后,發(fā)送釣魚(yú)郵件。

4.高危組件

承載API的后端組件可能存在安全隱患(比如沒(méi)有修復(fù)某個(gè)高危漏洞),同時(shí)這些組件因?yàn)锳PI對(duì)外提供業(yè)務(wù)而暴露在互聯(lián)網(wǎng)中,往往會(huì)成為攻擊者的攻擊目標(biāo)。

API是支撐線(xiàn)上應(yīng)用連接和數(shù)據(jù)傳輸?shù)年P(guān)鍵,承載著企業(yè)核心業(yè)務(wù)邏輯和大量敏感數(shù)據(jù),在應(yīng)用環(huán)境中非常普遍。數(shù)字時(shí)代的今天,各行各業(yè)都有大量的API去支撐業(yè)務(wù)交互:

? 金融:各類(lèi)銀行、證券的APP、小程序、第三方業(yè)務(wù)開(kāi)放平臺(tái)等對(duì)外提供大量API接口用于客戶(hù)查詢(xún)或辦理業(yè)務(wù),涉及手機(jī)號(hào)、銀行卡號(hào)、身份信息等敏感數(shù)據(jù)。

? 政務(wù):市民卡、線(xiàn)上政務(wù)平臺(tái)等互聯(lián)網(wǎng)政務(wù)系統(tǒng)需要開(kāi)放API接口在互聯(lián)網(wǎng)上,方便民生業(yè)務(wù)辦理,涉及的是公民居住證、學(xué)歷信息、身份證號(hào)等個(gè)人隱私數(shù)據(jù)。

? 醫(yī)療:受到新冠疫情影響,在線(xiàn)醫(yī)療已經(jīng)成為人們?nèi)粘I畹囊徊糠?,大量的檢測(cè)報(bào)告查詢(xún)APP、小程序以及與疫情相關(guān)的在線(xiàn)業(yè)務(wù)蓬勃發(fā)展,相關(guān)數(shù)據(jù)信息需要通過(guò)API進(jìn)行調(diào)取。

? 互聯(lián)網(wǎng):基于不同互聯(lián)網(wǎng)行業(yè)的實(shí)際業(yè)務(wù)場(chǎng)景,會(huì)開(kāi)放大量的業(yè)務(wù)API接口給到第三方合作伙伴、第三方用戶(hù)等等。

這些承載著大量高價(jià)值數(shù)據(jù)的API是網(wǎng)絡(luò)黑客關(guān)注的重點(diǎn),自然也是攻擊方眼中的“香餑餑”。

2021年,我們看到有多個(gè)API漏洞在攻防演練活動(dòng)被利用和發(fā)現(xiàn),主要包括:

這些API漏洞是如何被攻擊方利用的呢?

知彼:攻擊方常見(jiàn)的攻擊“套路”

基于過(guò)往實(shí)戰(zhàn)案例,攻擊方針對(duì)API的常見(jiàn)攻擊手法有以下幾種:

1 暴力破解/撞庫(kù)攻擊

攻擊方通過(guò)掃描發(fā)現(xiàn)管理后臺(tái)登錄頁(yè)面,并針對(duì)登錄接口進(jìn)行撞庫(kù)或暴力破解,獲取到賬號(hào)密碼后直接登錄后臺(tái),或者利用獲取的郵箱、手機(jī)號(hào)等信息進(jìn)行釣魚(yú)、社工等攻擊,直至進(jìn)入到企業(yè)內(nèi)網(wǎng)獲取更多的權(quán)限。

2 危險(xiǎn)路徑掃描

某些后端組件由于默認(rèn)配置或錯(cuò)誤配置,導(dǎo)致向互聯(lián)網(wǎng)暴露了一些不必要的API,其中有些API可執(zhí)行高權(quán)限操作或獲取敏感數(shù)據(jù),而攻擊者則可以通過(guò)路徑掃描,定位到這些API的路徑。

3 漏洞掃描

隨著業(yè)務(wù)的快速發(fā)展,API的迭代和發(fā)布周期也隨之加快,在“重業(yè)務(wù)、輕安全”理念驅(qū)使下,很多API在開(kāi)發(fā)過(guò)程中就存在漏洞,攻擊者通過(guò)漏洞掃描器對(duì)站點(diǎn)發(fā)起掃描,以此發(fā)現(xiàn)存在漏洞的API,并發(fā)起攻擊。

應(yīng)對(duì):從業(yè)務(wù)安全的實(shí)際需求出發(fā)

在了解了攻防演練中那些容易被忽略的API安全風(fēng)險(xiǎn)點(diǎn)和攻擊方常見(jiàn)的攻擊套路后,各組織單位想要在攻防演練中更好應(yīng)對(duì),還需要從自身業(yè)務(wù)安全出發(fā),制定相應(yīng)的API安全管理策略。

永安在線(xiàn)研究認(rèn)為,各組織單位在網(wǎng)絡(luò)安全攻防演練中想要有效管理和保護(hù)API資產(chǎn),可以從API資產(chǎn)梳理、缺陷評(píng)估、攻擊檢測(cè)三方面著手。

一是資產(chǎn)動(dòng)態(tài)梳理

1. 通過(guò)自動(dòng)化識(shí)別業(yè)務(wù)API調(diào)用關(guān)系,全面、持續(xù)清點(diǎn)API接口,包括影子API和僵尸API、老版本和功能重復(fù)的API,縮小風(fēng)險(xiǎn)暴露面。

2. 持續(xù)監(jiān)測(cè)敏感數(shù)據(jù)流動(dòng),對(duì)各種敏感數(shù)據(jù)進(jìn)行識(shí)別,并對(duì)敏感數(shù)據(jù)進(jìn)行自定義檢測(cè),減少數(shù)據(jù)暴露面。

3. 持續(xù)動(dòng)態(tài)梳理系統(tǒng)訪問(wèn)賬號(hào),多維度記錄賬號(hào)訪問(wèn)和操作行為,主動(dòng)識(shí)別風(fēng)險(xiǎn)動(dòng)作,同時(shí)也為企業(yè)提供行為溯源能力。

二是缺陷持續(xù)評(píng)估

1. 全面、持續(xù)地評(píng)估API缺陷,要能夠監(jiān)測(cè)目前常見(jiàn)各類(lèi)安全缺陷,并做到全面覆蓋OWASP API Top10安全問(wèn)題。

2. 通過(guò)完整、清晰的缺陷樣例和自動(dòng)化驗(yàn)證流程,幫助企業(yè)提升缺陷修復(fù)效率。

三是攻擊精準(zhǔn)感知

1. 基于情報(bào)構(gòu)建API行為基線(xiàn),及時(shí)發(fā)現(xiàn)API攻擊、賬號(hào)異常、IP攻擊等風(fēng)險(xiǎn)。

2.系統(tǒng)支持輸出多維度IOC異常標(biāo)識(shí),聯(lián)動(dòng)WAF、風(fēng)控等快速自動(dòng)化阻斷。


新聞名稱(chēng):網(wǎng)絡(luò)安全攻防演練中不能忽視的API風(fēng)險(xiǎn)
標(biāo)題鏈接:http://www.dlmjj.cn/article/dpcjics.html