API不仅连接到系统和数据,还连接到企业的功能部门、客户、合作伙伴乃至整个业务生态。 同时,由于越来越严峻的安全威胁,API成为网络安全的下一个前沿阵地。
从数据共享到系统连接到重要功能的提供,API都很容易,而API则使攻击者(包括恶意机器人)更容易进行攻击。 API的应用迅速增加,网络犯罪者越来越多地利用API的安全漏洞进行欺诈和数据盗窃。
如果你准备用黑客攻击公司,首先要做的就是识别尽可能多的API。 照常使用目标应用程序,在浏览器中打开Web应用程序,或者在手机上下载并安装移动应用程序,然后使用监听代理监视通信
截取代理捕获浏览器或移动应用程序已发布给后端Web服务器的所有请求并且使得攻击者能够分类所有可用的API端点,例如,大多数API认证API/V1/login
如果目标是移动应用程序,请拆分应用程序包并检查应用程序中可用的API调用。 考虑到所有可能的活动,攻击者可以查找无法正确保护用户数据的常见配置错误或API。
最后,攻击者寻找API文档。 有些组织向第三方发布了API文档,但所有用户都使用相同的API端点。
优秀的端点列表允许攻击者测试标准用户行为和异常行为,并通过两种方式发现有趣的漏洞。
解决方法:为了防止攻击者发现API,请使用只允许有效用户访问的权限管理来控制对API文档的访问。 将证书固定到移动应用程序无法完全隐藏API端点,虽然并不完美,但攻击中还添加了其他步骤。 对Web服务器的API请求应该尽可能地被混淆和控制。
最近,攻击者接管账户的尝试在增加。 错误消息“详细周到”太多,往往使这种攻击更加容易。 多馀的错误消息可以帮助攻击者了解伪装成合法请求所需的更改。 API已针对低负载高速交易进行了修订,攻击者可以使用高性能系统找到有效帐户,登录后更改密码使用。
解决办法:不要以用户体验为借口。 有些方法看似对用户体验有用,但不一定对安全有用。 系统返回的错误消息中不要包含错误的用户名或错误的密码用于查询数据的错误消息也一样,如果查询/搜索格式不正确或由于某种原因无法执行,则“营养不良”
中文
电话咨询
微信咨询
公众号
