日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

譯者 | 布加迪

創(chuàng)新互聯(lián)建站專注于做網(wǎng)站、網(wǎng)站設(shè)計(jì)、網(wǎng)頁設(shè)計(jì)、網(wǎng)站制作、網(wǎng)站開發(fā)。公司秉持“客戶至上,用心服務(wù)”的宗旨,從客戶的利益和觀點(diǎn)出發(fā),讓客戶在網(wǎng)絡(luò)營銷中找到自己的駐足之地。尊重和關(guān)懷每一位客戶，用嚴(yán)謹(jǐn)?shù)膽B(tài)度對待客戶，用專業(yè)的服務(wù)創(chuàng)造價值，成為客戶值得信賴的朋友，為客戶解除后顧之憂。

審校 | 孫淑娟

API安全威脅始終是個問題。API安全好比開車。發(fā)布之前，您必須謹(jǐn)慎行事，仔細(xì)審查各個環(huán)節(jié)。不然，您將會把自己和他人置于險境之中。

API攻擊比其他攻擊更危險。Facebook的5000萬用戶帳戶曾受到API攻擊的影響，Hostinger帳戶遭到的API數(shù)據(jù)攻擊泄露了1400萬條客戶記錄。

如果黑客闖入您的API端點(diǎn)，可能會給您的項(xiàng)目帶來災(zāi)難。不安全的API可能會讓您陷入困境，這視具體的行業(yè)和地區(qū)而定。尤其在歐盟，如果您為銀行服務(wù)，倘若被發(fā)現(xiàn)使用不安全的API，您可能面臨嚴(yán)重的法律和合規(guī)問題。

為了減輕這些風(fēng)險，您需要了解網(wǎng)絡(luò)犯罪分子可以利用的潛在API漏洞。

一、六種經(jīng)常被忽視的API安全風(fēng)險

1、對API缺乏可見性和監(jiān)控意味著“風(fēng)險”

如果您逐步使用基于云的網(wǎng)絡(luò)，所使用的設(shè)備和API的數(shù)量也隨之增加。這也將導(dǎo)致對您在企業(yè)內(nèi)部或外部泄露哪些API缺乏可見性。

影子、隱藏或棄用的API不被安全團(tuán)隊(duì)了解，為攻擊者針對未知的 API、API參數(shù)和業(yè)務(wù)邏輯發(fā)動成功的網(wǎng)絡(luò)攻擊創(chuàng)造了更多機(jī)會。API網(wǎng)關(guān)等傳統(tǒng)工具無法完整地列出所有API。

一定要有API可見性，包括如下：

• 集中式可見性以及列出所有API的清單
• API流量的詳細(xì)視圖
• 對傳輸敏感信息的API擁有可見性
• API風(fēng)險自動分析，附有預(yù)定義的標(biāo)準(zhǔn)

2.API功能不足

關(guān)注您的API調(diào)用對于避免向API傳遞重復(fù)的請求很重要。如果兩個部署的API試圖使用同一個URL，可能會導(dǎo)致重復(fù)和冗余的API使用問題。這是由于兩個API上的端點(diǎn)使用同一個URL。為了避免這種情況，每個API都應(yīng)該有自己的唯一URL，并加以優(yōu)化。

3.服務(wù)可用性威脅

在僵尸網(wǎng)絡(luò)的幫助下，針對性的DDoS API攻擊可以使API服務(wù)器的CPU周期和處理器能力超載，發(fā)送帶有無效請求的服務(wù)調(diào)用，從而使服務(wù)器無法用于合法流量。DDoS API攻擊不僅針對運(yùn)行API的服務(wù)器，還針對每個API端點(diǎn)。

速率限制讓您有信心保持應(yīng)用程序健康運(yùn)行，而良好的響應(yīng)計(jì)劃隨帶多層安全解決方案，比如AppTrana的API保護(hù)。準(zhǔn)確、全面托管的API保護(hù)可以持續(xù)監(jiān)控API流量，并在抵達(dá)服務(wù)器之前立即阻止惡意請求。

4.因API的使用而猶豫不決

B2B公司經(jīng)常需要向組織外面的團(tuán)隊(duì)公布內(nèi)部API使用方面的數(shù)字。這可能非常有助于促進(jìn)協(xié)作，允許其他人訪問您的數(shù)據(jù)和服務(wù)。但是有必要仔細(xì)考慮您允許誰訪問您的API，以及對方需要什么樣的訪問級別。您不希望過于廣泛地開放API，造成安全風(fēng)險。

在合作伙伴或客戶之間共享API調(diào)用時，需要對其密切監(jiān)控。這有助于確保每個人都按預(yù)期使用API，系統(tǒng)沒有不堪重負(fù)。

5.API注入

API注入這個術(shù)語用來描述惡意代碼連同API請求被注入。注入的命令執(zhí)行后，甚至可以從服務(wù)器刪除用戶的整個站點(diǎn)。API易受這個風(fēng)險影響的主要原因是，API開發(fā)人員未能在輸入內(nèi)容出現(xiàn)在API代碼中之前加以清理。

這個安全漏洞給用戶帶來了嚴(yán)重問題，包括身份盜用和數(shù)據(jù)泄露，因此意識到該風(fēng)險至關(guān)重要。在服務(wù)器端添加輸入驗(yàn)證機(jī)制，以防止注入攻擊，并避免執(zhí)行特殊字符。

6.通過API攻擊物聯(lián)網(wǎng)設(shè)備

可以在多大程度上鉆物聯(lián)網(wǎng)的“空子”取決于API安全管理水平；如果沒有這種安全管理，您將很難使用物聯(lián)網(wǎng)設(shè)備。

隨著時間的推移和技術(shù)的進(jìn)步，黑客總是會使用新的方法來利用物聯(lián)網(wǎng)產(chǎn)品中的漏洞。雖然API支持強(qiáng)大的可擴(kuò)展性，但它們?yōu)楹诳驮L問物聯(lián)網(wǎng)設(shè)備上的敏感數(shù)據(jù)打開了新入口。為了避免物聯(lián)網(wǎng)設(shè)備面臨的許多威脅和挑戰(zhàn)，API必須更安全。

因此，您需要給物聯(lián)網(wǎng)設(shè)備打上最新的安全補(bǔ)丁，確保它們免受最新威脅的侵害。

二、實(shí)施WAAP，降低API風(fēng)險

當(dāng)下，許多組織不斷受到API攻擊的威脅。每天都有新的漏洞出現(xiàn)，因此有必要定期檢查所有API是否存在潛在威脅。Web應(yīng)用程序安全工具不足以保護(hù)貴公司免受這類風(fēng)險。要使API保護(hù)發(fā)揮功效，它就要完全致力于API安全。Web應(yīng)用程序和API保護(hù)（WAAP）系統(tǒng)是這方面切實(shí)有效的解決方案。

當(dāng)前題目：經(jīng)常被忽視的六大API安全風(fēng)險
文章路徑：http://www.dlmjj.cn/article/dpsjjoe.html